[Php-avanzado] consulta para Leo
Damián Colledani
damian_colledani en yahoo.com
Mar Dic 15 11:59:29 ARST 2009
Si bárbaro, estaba al tanto de las tablas Rainbow y su funcionamiento.
Yo pensaba (y leí por ahí), en crear una variable con un string lo suficientemente largo y usando caracteres %,&, etc en el string,
EJ $hash=fj395%o123rto&$gsñ;
Esto definido en un archivo común, ej. el de conexión a la BD. Que al pasar los $_GET[$clave]; $_GET[$usuario] se concatene a la variable formando un único string para ser guardado así. Entonces se transformaría en un hash pero de ida y vuelta tambien.
¿Será posible?
Salu2
--- El mar 15-dic-09, Matias Gea <matigea en gmail.com> escribió:
> De: Matias Gea <matigea en gmail.com>
> Asunto: Re: [Php-avanzado] consulta para Leo
> Para: "Lista del curso de PHP Avanzado" <php-avanzado en pato2.fi.mdp.edu.ar>
> Fecha: martes, 15 de diciembre de 2009, 11:45 am
> Hola, Damian.
>
> > Buenísimo, gracias matias. Si uso una función que
> chequea mysql_real_escape_string y stripslashes entre
> otras.
>
> Bien, yo hago lo mismo, una función para escapar y otra
> para mostrar.
>
> > Ahora haciendo caso a tus recomendaciones estoy tras
> una buena función hash que me resuelva el problema
>
> En realidad, es bastante complicado desencriptar cualquier
> hash. Se
> puede hacer sólo con tablas Rainbow; estas son tablas que
> contienen
> todas las combinaciones posibles y su correspondiente hash,
> entonces,
> buscás el hash y te va a dar una combinacion que valide
> para ese hash.
> Generar estas tablas toma muuuucho tiempo (años, a veces).
> Entonces
> que no importa si es un hash muy fuerte o no, con MD5 te
> alcanza y
> SHA1 te sobra. La diferencia es la longitud del hash y que
> hay más
> tablas rainbow (en internet) de MD5 que de SHA1.
>
> El problema de seguridad en este caso no es para vos, sino,
> más que
> nada para el usuario. Si se compromete tu base de datos y
> tenés los
> passwords desencriptados, se van a descubrir los pass de
> todos los
> usuarios, que, junto con el nombre de usuario,
> probablemente sean los
> mismo que usan para un montón de servicios (hotmail,
> gmail, facebook,
> twitter...). Hacer un hash del password complica bastante
> la tarea de
> obtener un password limpio.
>
> Tené cuidado también, si hacés sesiones con cookies, de
> no guardar los
> pass en las cookies (sean encriptados o no).
>
> > Salu2
>
> Salu2
>
> --
> Matias Fernando Gea
> matigea en gmail.com
> http://www.mfgea.com.ar
> _______________________________________________
> Php-avanzado mailing list
> Php-avanzado en pato2.fi.mdp.edu.ar
> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>
Yahoo! Cocina
Encontra las mejores recetas con Yahoo! Cocina.
http://ar.mujer.yahoo.com/cocina/
Más información sobre la lista de distribución Php-avanzado