08-03-2011, 01:16
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
תראה את הכמה שורות לפני ואחרי מה ששולף את הנתונים מה DB, אם שם השדה הוא password כפי שאמרת, אני מקווה שנסתדר משם.
לגבי ההצפנה - אתה רוצה להצפין אבל גם אפשרות לקרוא = אתה רוצה לעשות הצפנה חסרת ערך. הדרך היחידה שבה היא תהיה אפקטיבית, תהיה אם לא יהיה ניתן לקרוא את מפתח הפענוח מהקוד שלך (נניח, אם תצפין אותו בעצמו באמצעות כלים המיועדים לכך...) - וגם אז - אא"כ הקוד שלך עטוף בצורה כזו שלא יתאפשר *להריץ* אותו כשהוא מוצפן, גם אז ייתכן ויוכלו לעטוף אותו בקוד אחר ובאמצעותו לגשת למידע המוצפן.
מותר לשאול *מדוע* אתה צריך גישה לסיסמא המקורית של המשתמש במקום לעשות מה ששאר העולם עושה: להצפין אותה חד כיוונית, ובאימות, להצפין חד כיוונית באותו האלגוריתם את קלט הסיסמא מהמשתמש, ולראות אם התוצאה שווה למה שכבר כתוב ב DB? (למרות שת'אכלס גם זה חסר ערך אם מישהו פרץ לך לשרת ויכל להחליף לך את הקבצים, פשוט משום שהוא יכול לרשום בצד את הקלט מהמשתמש לנוחותו, וכך כל חשבון שמשתמשים נכנסו אליו מאז הפריצה, תהיה לו הסיסמא שלו... אם כבר פרצו לך לשרת - אתה בבעייה. צריך להמנע מכך...)
|