[Php-avanzado] consulta para Leo

[Matias Gea]

Hola, Damian.

> Buenísimo, gracias matias. Si uso una función que chequea mysql_real_escape_string y stripslashes entre otras.

Bien, yo hago lo mismo, una función para escapar y otra para mostrar.

> Ahora haciendo caso a tus recomendaciones estoy tras una buena función hash que me resuelva el problema

En realidad, es bastante complicado desencriptar cualquier hash. Se
puede hacer sólo con tablas Rainbow; estas son tablas que contienen
todas las combinaciones posibles y su correspondiente hash, entonces,
buscás el hash y te va a dar una combinacion que valide para ese hash.
Generar estas tablas toma muuuucho tiempo (años, a veces). Entonces
que no importa si es un hash muy fuerte o no, con MD5 te alcanza y
SHA1 te sobra. La diferencia es la longitud del hash y que hay más
tablas rainbow (en internet) de MD5 que de SHA1.

El problema de seguridad en este caso no es para vos, sino, más que
nada para el usuario. Si se compromete tu base de datos y tenés los
passwords desencriptados, se van a descubrir los pass de todos los
usuarios, que, junto con el nombre de usuario, probablemente sean los
mismo que usan para un montón de servicios (hotmail, gmail, facebook,
twitter...). Hacer un hash del password complica bastante la tarea de
obtener un password limpio.

Tené cuidado también, si hacés sesiones con cookies, de no guardar los
pass en las cookies (sean encriptados o no).

> Salu2

Salu2

-- 
Matias Fernando Gea
matigea en gmail.com
http://www.mfgea.com.ar