שלום.
כשאני שומר בעוגיות את פרטי המשתמש, אני עושה זאת עם צופן md5.
כדי להסביר את עצמי הכי טוב, אני פשוט אראה את הקוד:

קוד PHP:

 setcookie("login", md5($l_username.'-'.$l_password), time()+999999); 


כשהמשתמש חוזר לאתר אחרי חצי שעה, ואני רוצה לבדוק את העוגיה אני צריך לבדוק אם שם המשתמש נמצא במסד נתונים, ואם כן, אז אם הסיסמה תואמת.
שאילתה פשוטה בsql:

קוד PHP:

 SELECT * FROM members WHERE username='$l_username' AND password='$l_password' AND status='1' 


הבעיה שאם שם המשתמש והסיסמה נשמרים בmd5, אין לי שום אפשרות להפריד אותם.
יש אפשרות, אבל זה לעבור על כל השדות בטבלה, ולבדוק את זה עם if בphp.
אני חשבתי על לשמור אותם בעוגיה בשני צפנים שונים.
ובאמצע להוסיף סימנים שאין סיכויים שmd5 יוסיף.
ככה אני אוכל לרוץ על המחרוזת ולהפריד אותה לשני מחרוזות שונות.
רציתי לדעת אם יש דרך יעילה יותר.
אם כן, אני אשמח לשמוע עליה!
תודה מקרב לב.

אתה יכול להוסיף לעוגיה עוד נתון של ID, ואז לשלוף מהמסד נתונים את המשתמש עם ה- id הספציפי שיש בעוגיה ולבדוק ככה את הנתונים (לקבל את השם משתמש וסיסמא, ליצור את ה- md5 שלהם ולבדוק אם זה שווה לערך md5 בעוגיה)

נראה לי שהבנתי אותך.
משהו בסגנון הזה:

קוד PHP:

 setcookie("login", $l_id."****".md5($l_username.'-'.$l_password), time()+999999); 


</SPAN>
?
או אפילו לעשות ששם העוגיה יהיה לפי הid, ואז אם יש עוגיה שתואמת לid במסד, אני אעשה את הבדיקה?
נראה לי שלפי השם יכול להיות יותר יעיל.
יחסוך את הפונקציה שתפריד את תוכן העוגיה.
לא?

משהו כזה:

קוד PHP:

 setcookie("member_id", $l_id, time()+999999); 


ואז תשלוף ממסד הנתונים את שם המשתמש והסיסמא שלו, ועליהם תבצע md5 ותבדוק אם יש השוואה למידע שבעוגיה:

קוד PHP:

 /* $member has the data about the member according to the $_COOKIE['member_id'] data.
*/

if (md5($member['l_username'].'-'.$member['l_password']) == $_COOKIE['login'])
 echo 'ok..';
else
 echo 'hacking attempt or something.......'; 


אגב אני מציע שכבר ב-Session של המשתמש הספציפי תשמור את המידע המוצפן:

קוד PHP:

 md5($member['l_username'].'-'.$member['l_password']) 


כדי לזרז קצת תהליכים....

זאת אומרת להשתמש בשתי עוגיות?
פעם אחת לשמור את הid, ופעם אחת לשמור את הפרטים בצורה מוצפנת?
כן, את העניין עם הסשיין כבר בניתי. אני לא כל פעם אבדוק את העוגיה, אלא את הסשיין.
אבל לא הבנתי למה לשמור בסשיין את המידע בצורה מוצפנת..
זה מידע שנמחק כאשר המשתמש סוגר את הדפדפן.

ציטוט:

במקור נכתב על ידי dardevil זאת אומרת להשתמש בשתי עוגיות? פעם אחת לשמור את הid, ופעם אחת לשמור את הפרטים בצורה מוצפנת?

כן.

ציטוט:

במקור נכתב על ידי dardevil אבל לא הבנתי למה לשמור בסשיין את המידע בצורה מוצפנת.. זה מידע שנמחק כאשר המשתמש סוגר את הדפדפן.

העניין הוא רק בשביל קצת זירוז תהליכים.
אם לא תשמור את המידע של סיסמת המשתמש ושם המשתמש בצורה מוצפנת, תצטרך להריץ את הפונקציה md5 בכל טעינה מחדש של העמוד.
אז כדי לחסוך את הרצת הפונקציה md5, הצעתי לאחסן איפשהו במקום נגיש את המידע הזה, שבאמצעותו תאמת את המשתמש.

ציטוט:

אבל לא הבנתי למה לשמור בסשיין את המידע בצורה מוצפנת..

רצוי מאוד להצפין תוכן שנשמר בעוגיות וב SESSION במידה והוא רגיש וסודי כמו סיסמא לדוגמא. בעולם כיום יש דברים שנקראים cookie hijacking , session hijacking, session fixation וכן הלאה.

dorM, בהחלט. וזה גם מה שעשיתי.
אני חשבתי שאתה מציע לשמור את הסשיין עם md5.

vadim88,
עוגיות אני מבין למה כדאי ורצוי לשמור בצורה מוצפנת, כי המידע הזה נגיש ללקוח.
אבל סשיין, עד כמה שידוע לי נשמר על השרת. האם למשתמשים אחרים יש גישה אליו?

http://en.wikipedia.org/wiki/Session_hijacking

למה לא להשתמש פשוט ב-2 עוגיות? :S

סתם לחסוך משאבים?אבל בסופו של דבר, כן, השתמשתי בשתי עוגיות - הכי פשוט.

אני לא בטוח שזה חוסך משאבים, זה מאלא נשמר אצל המשתמש ואם זה מה שמקל על עבודה ושבירת ראש אז זה עדיף, וחוסך הרבה בלאגן והפרדה של הקוד (כך שאולי 2 עוגיות חוסכות יותר משאבים, אז זה בעדיפות).

לדעתי:
לשמור את שם המשתמש, והסיסמא המוצפנת, ואז להוציא את הסיסמא על פי המשתמש שהוזן בעוגייה (רצוי לעשות סינון לשם המשתמש), ולבדוק אם הסיסמאות תואמות (בהנחה שגם במסד וגם בעוגייה הסיסמא היא MD5).

(מפתח אתרים | iBlog - בלוג בניית אתרים)

אבל עדיין שווה לבדוק אם יש דרך יעילה יותר.
בסופו של דבר, כמו שכתבתי, השתמשתי ב2 עוגיות.

כמו שכתבתי באחת ההודעות למעלה, אני יכול לעשות את הדרך שלך, אבל אז אני צריך לעבור על התוכן של העוגיה, ולנסות להפריד את השם משתמש מהסיסמה.

לא ממש, בדיוק בגלל זה כתבתי שזה תלוי במה ששמרת (כתבתי את זה בסוף, נכון?!).

אם אתה שומר אצל המשתשמ MD5 של הסיסמא, ובמסד MD5 של הסיסמא, אתה פשוט צריך להשוואות בין ה-2 =]
אם אתה שומר אצל המשתמש את ה-MD של השם משתמש, מקף ואז סיסמא, ובמסד סיסמא (לא MD5 שלה), אתה תצטרך לעשות חיבור של הנתונים בשליפה והכנסתם ל-MD5 כדי להשוואות עם העוגייה (היא כבר MD5, אז אין צורך לקבל שוב פלט מהפונקצייה.

שוב, תלוי באיך שבנית.

נ.ב: תספרו כמה פעמים אמרתי MD5

(מפתח אתרים | iBlog - בלוג בניית אתרים)

אבל זה לא הגיוני מה שאתה אומר.
אתה טוען שאני צריך להשוות בין הסיסמאות, אבל מה יקרה אם יש שני משתמשים עם אותה סיסמה?
את שמות המשתמשים הגבלתי, אבל למה שלא תתאפשר אותה סיסמה לשני משתמשים?

ואם לא הבנתי נכון את מה שהצעת, ואתה בכלל התכוונת לשמור גם את שם המשתמש במסד נתונים עם צופן md5, אז עדיין נראה לי שזו טעות. בכל פעם שאני ארצה להציג את שם המשתמש, איך אני אעשה את זה?

נמאס לי שאנשים שמנים את מה שאני אומר... ובמקום לשאול לפירוט והרחבה הם מחליטים לתרגם אותי כמו שבא להם><

ההמלצות שלי היו כאלו:
1. במסד אתה תשמור שם משתמש לא מוצפן!
2. במסד אתה תשמור סיסמא מוצפנת.
3. בעוגייה אתה תשמור שם משתמש או ID לא מוצפן!
4. בעוגייה אתה תשמור סיסמא מוצפנת.

כשאתה עושה בדיקה זה נעשה כך:
1. אתה מקבל את השם משתמש או ה-ID שבעוגייה, ואז את הסיסמא, ובעזרת שימוש ב-WHERE של SQL אתה בודק אם יש ערך שכולל את 2 הדברים, אם לא אתה יודע שהמשתמש לא קיים או שהסיסמא לא נכונה (ככה עושים במקומות המקצועיים, לא נהוג לחשוף לאנשים אם הם מצאו שם משתמש אמיתי אבל טעו בסיסמא).
או דרך ארוכה יותר..
1. אתה מקבל את שם המשתשמ או ה-ID ששמרת בעוגייה ובעזרת שאילתה (בה אתה משתמש ב-WHERE עבור המידע שקיבלת) את מוציא את הסיסמא.
במקרה שלא נמצאה תוצאה =>

2.א. קיימת שגיאה כי המשתמש לא נמצא.

במקרה שכן נמצאה תוצאה =>

2.ב. אתה בודקת בעזרת תנאי האם הסיסמא שהוצאת שווה לזאת שבעוגייה.
אם כן =>

3.א. יש התחברות.

אם לא =>

3.ב. שגיאה על כך שהסיסמא לא נכונה.

אני לא חושב שיש לי דרך להיות יותר ברור מזה..

(מפתח אתרים | iBlog - בלוג בניית אתרים)

למה אתה עצבני?

אתה כתבת: "אתה מקבל את השם משתמש או ה-ID שבעוגייה, ואז את הסיסמא"
אני כבר כתבתי בהודעה הראשונה שלי, שאם אני שומר את השם משתמש הסיסמה באותה עוגיה, אני אהיה חייב לעבור על כל העוגיה ולהפריד אותה לשתי מחרוזות.
זה לא משנה אם אני מצפין את שם המשתמש או את הסיסמה.
לפי איך שאתה מציע(ואיך שאני הצעתי בהתחלה), העוגיה אמורה להראות משהו כזה:
iBot665%$%#
ואז אני בעצם חייב לעבור עליה ולהפריד אותה לשתי מחרוזות שונות:
iBot
665%$%#
מבין?
לכן שאלתי אם יש דרך יעילה יותר שתחסוך לי את המעבר על העוגיה וההפרדה שלה.
וכן, נראה לי ששימוש בשתי עוגיות, יותר יעיל מלולאה שתרוץ על מחרוזת ותחלק אותה לשתי מחרוזות או למערך.

לא מעוצבן, מעוצבן זה אם הייתי עושה ככה:

ציטוט:

!!!!!!!!!!!!111111אחדאחד

לצורך העניין:

ציטוט:

3. בעוגייה אתה תשמור שם משתמש או ID לא מוצפן! 4. בעוגייה אתה תשמור סיסמא מוצפנת.

איפה כתבתי פה ליצור עוגייה אחת?
בכוונה חילקתי ל-2 חלקים, כדי שיהיה ברור שלא מדובר באותה עוגייה (אבל שי אנשים שכנראה לא נעזור מה נגיד, הם יצטרכו להסיק זאת בעצמם).

בכל מקרה תקרא שוב את הדרך שהצעתי, בידיעה שאני מדבר על 2 עוגיות, זה יסדר לך את הרעיון קצת..

(מפתח אתרים | iBlog - בלוג בניית אתרים)

אוף הדיון הזה הולך לכיוון לא נכון.

ציטוט:

1. במסד אתה תשמור שם משתמש לא מוצפן! 2. במסד אתה תשמור סיסמא מוצפנת. 3. בעוגייה אתה תשמור שם משתמש או ID לא מוצפן! 4. בעוגייה אתה תשמור סיסמא מוצפנת.

אני מאמין שלא התכוונת לשני מסדי נתונים, נכון?
אתה כותב "בעוגייה" ואני אמור להסיק לבד שמדובר בשתי עוגיות?

ובאמת בלי לנסות לפגוע, אני לא מבין מה חידשת ממה שdorM כתב למעלה.
אני הגעתי ממזמן למסקנה ששתי עוגיות זו הדרך הכי יעילה והשתמשתי בה בסופו של דבר.
אולי ניסית לחדש משהו, ולתת רעיון אחר יותר יעיל, אבל כרגע אני לא מצליח לראות אותו, ובטח שלא להבין אותו.
מצטער.

אני התחלתי איתך שיחה של למה כן להשתמש ב-2 עוגיות, ובגלל חוסר ניסיון להבין על ידי 1 הצדדים נאלצתי לנמק את עצמי שוב ושוב...
[התעקשת על זה שאמרתי משהו שלא אמרתי כבר מההתחלה, וכל פעם כתבתי אותו דבר בדרך אחרת]

בנוגע למסד: מדובר על 2 שדות באותה טבלה שבאותו מסד

טוב אני חשוב שהדיון מיצא את עצמו, אם הבנת מה שאמרתי ואם לא, זה פשוט חסר טעם.

(מפתח אתרים | iBlog - בלוג בניית אתרים)

הפעולה של ההפרדה של שם משתמש וסיסמא זה באמת זניח, אל תתן לזה להטריד אותך שמה שבנית הוא לא יעיל..

אין צורך בהסתבכות. אפשר להשתמש בשאילתת SQL פשוטה למדי.

קוד PHP:

 $sqlQuery = "select hashed_user_data from (
                 select md5(CONCAT(u.user_name,u.user_password)) hashed_user_data
                 from user u
              ) h
              where hashed_user_data = '".$myCookieHashedData."'"; 


השאילתא תחזיר את הערך המקודד של שם המשתמש והסיסמא ביחד. לכן, אם חוזרת תוצאה המשתמש קיים ותואם לעוגייה

where clause-לצורך הבנה נסה להריץ את השאילתא ללא ה

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://muzx.net/files/public/avatars/1208187486.gif]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://muzx.net/files/public/avatars/1188591880.gif]

צודק.. יש פונקציה md5 ל- MySQL? (פשוט זה לא רלוונטי אלי.. אני משתמש ב- sha1)

אכן כן, אם לא היה לא הייתי מגיב בשאילתא כזאת. כמו-כן, יש גם את sha1

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://muzx.net/files/public/avatars/1208187486.gif]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://muzx.net/files/public/avatars/1188591880.gif]

אוקייייי
עכשיו ממש חידשת לי!
אתה תוכל בבקשה להסביר את מה שכתבת בשורה הזאת:

קוד PHP:

 select md5(CONCAT(u.user_name,u.user_password)) hashed_user_data
                 from user u 


</FONT>
מה זה concat?
למה שמת u. לפני הuser_name והuser_password? זה פקודה מסויימת או שפשוט ככה קראת לשדות שלך?
תוכל להסביר לי?
תודה רבה וערב צח!

concat זאת פונקציה של sql אשר מאפשרת לחבר מספר עמודות לעמודה אחת בלבד, לדוגמא:
טבלה פשוטה של שם משתמש וסיסמא

כדי לקבל את שני העמודות מחוברות פשוט עוטפים את שמות השדות ב concat

קוד PHP:

 concat(username,'-',password) 


dardevil-myMD5HashedPassword :התוצאה שתתקבל היא
md5 בנוסף עם תעטוף את התוצאה בפונקציה
תוכל לקבל בדיוק את מה שאתה שומר בעוגייה.

"u" שמתי
לפני השדות כמזהה הטבלה אם תשים לב לשאילתא הבאה תוכל להבין בברור למה זה נעשה

קוד PHP:

 select u.* from users u
אפשר לכתוב גם
select u.* from users as u 


מקווה שהייתי ברור, בכל מקרה אל תהסס לשאול.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://muzx.net/files/public/avatars/1208187486.gif]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://muzx.net/files/public/avatars/1188591880.gif]

אה, הבנתי.
זה שימושי ביותר!
היית מאוד ברור.
תודה רבה רבה רבה לך ולשאר המגיבים באשכול!