Veilig login script: hoe hashen in database?

Status
Niet open voor verdere reacties.
C

carlobernardini

Nieuwe gebruiker
Lid geworden
2 dec 2006
Berichten
2
Ik heb net de uitleg op http://www.helpmij.nl/forum/showthread.php?p=1445264
doorgenomen, gezien ik een veilig login script aan het maken ben en daarbij aan het nadenken ben waaraan je allemaal moet denken om het zo veilig mogelijk te maken.
Goede uitleg!
Eén dingetje snap ik alleen niet: het script vergelijkt de wachtwoorden. Je zegt dat het wachtwoord dat in de database opgeslagen is, ook gehashed moet zijn, uiteraard. Maar hoe moet dit wachtwoord gehashed zijn, willen de wachtwoorden matchen?? Ik ben er nog niet achter gekomen..
Kan je me hierbij verderhelpen?

Alvast bedankt!
 
je typt het wachtwoord in deze wordt gecodeerd, dan wordt het wachtwoord vergeleken met die uit de database.
is deze gelijk dan wordt je ingelogd.

==> dus, het wachtwoord word netzo gecodeerd als het wachtwoord is gecodeerd in de database.

oja, en op sitemasters.be, phpfreaks, phphulp, etc. kan je gewoon kant en klare systemen downloaden. Ik neem namelijk aan dat je nog niet zo ervaren bent en een loginscript vereist toch wel het een en ander.

TIP: je kan het best met MD5 coderen.
 
Nee ik ben wel ervaren, alleen ik snapte niet op welke manier je het moest coderen voordat je het in de database zet, want dat zijn namelijk nogal wat manieren... sha1, md5 etc. en anders kan je namelijk ook sha1(sha1(wachtwoord...)) doen en zoveel keer sha1 herhalen als je wil. Daarnaast is md5 zeker niet de beste manier om te hashen hoor, dat is nu sha1..
Maar ik neem dus aan dat je bedoeld dat ik bij het wachtwoordveld in mijn database als datatype niet varchar maar password moet kiezen?
==> dus, het wachtwoord word netzo gecodeerd als het wachtwoord is gecodeerd in de database.
Klik om te vergroten...
Ja, dat snap ik ook wel, maar hoe is het wachtwoord in de database dan gecodeerd? :confused: Ik moet het wachtwoord namelijk gehashed in de database stoppen, want anders is het niet gelijk aan het clientside gecodeerde wachtwoord wat ermee vergeleken wordt...
Iemand?..
 
Laatst bewerkt:
Ik gebruik VARCHAR in m'n database en dan in de module waarin geregistreerd wordt, schrijf je de sha1/md5 waarde weg. Of als je de waardes in je database zelf invult, maak je een kleine pagina met een formulier dat je de sha1/md5 - waarde van je invoer weergeeft.

--Johan
 
als je de bestanden gewoon doet coderen met md5 dan slaat ie het op als: xi3vd3j19lfxxi303nlvajodefnvie. etc. onleesbaar dus als iemand de database hackt. Je kan het gewoon met VARCHAR doen.

nog even over die sha1 sinds wanneer is die de beste.
maar het maakt mij niet uit wat je gebruikt. Ik heb alleen ervaring met md5 dus je moet het zelf weten
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan