[Php-avanzado] consulta para Leo

Matias Gea matigea en gmail.com
Mar Dic 15 14:04:33 ARST 2009 

Hash de ida y vuelta no existe, para eso está la encriptacion.
Igualmente no entiendo muy bien el mecanismo de guardado. Que se
guarda? en que campos?

2009/12/15 Damián Colledani <damian_colledani en yahoo.com>:
> Si bárbaro, estaba al tanto de las tablas Rainbow y su funcionamiento.
> Yo pensaba (y leí por ahí), en crear una variable con un string lo suficientemente largo y usando caracteres %,&, etc en el string,
> EJ $hash=fj395%o123rto&$gsñ;
> Esto definido en un archivo común, ej. el de conexión a la BD. Que al pasar los $_GET[$clave]; $_GET[$usuario] se concatene a la variable formando un único string para ser guardado así. Entonces se transformaría en un hash pero de ida y vuelta tambien.
> ¿Será posible?
> Salu2
>
> --- El mar 15-dic-09, Matias Gea <matigea en gmail.com> escribió:
>
>> De: Matias Gea <matigea en gmail.com>
>> Asunto: Re: [Php-avanzado] consulta para Leo
>> Para: "Lista del curso de PHP Avanzado" <php-avanzado en pato2.fi.mdp.edu.ar>
>> Fecha: martes, 15 de diciembre de 2009, 11:45 am
>> Hola, Damian.
>>
>> > Buenísimo, gracias matias. Si uso una función que
>> chequea mysql_real_escape_string y stripslashes entre
>> otras.
>>
>> Bien, yo hago lo mismo, una función para escapar y otra
>> para mostrar.
>>
>> > Ahora haciendo caso a tus recomendaciones estoy tras
>> una buena función hash que me resuelva el problema
>>
>> En realidad, es bastante complicado desencriptar cualquier
>> hash. Se
>> puede hacer sólo con tablas Rainbow; estas son tablas que
>> contienen
>> todas las combinaciones posibles y su correspondiente hash,
>> entonces,
>> buscás el hash y te va a dar una combinacion que valide
>> para ese hash.
>> Generar estas tablas toma muuuucho tiempo (años, a veces).
>> Entonces
>> que no importa si es un hash muy fuerte o no, con MD5 te
>> alcanza y
>> SHA1 te sobra. La diferencia es la longitud del hash y que
>> hay más
>> tablas rainbow (en internet) de MD5 que de SHA1.
>>
>> El problema de seguridad en este caso no es para vos, sino,
>> más que
>> nada para el usuario. Si se compromete tu base de datos y
>> tenés los
>> passwords desencriptados, se van a descubrir los pass de
>> todos los
>> usuarios, que, junto con el nombre de usuario,
>> probablemente sean los
>> mismo que usan para un montón de servicios (hotmail,
>> gmail, facebook,
>> twitter...). Hacer un hash del password complica bastante
>> la tarea de
>> obtener un password limpio.
>>
>> Tené cuidado también, si hacés sesiones con cookies, de
>> no guardar los
>> pass en las cookies (sean encriptados o no).
>>
>> > Salu2
>>
>> Salu2
>>
>> --
>> Matias Fernando Gea
>> matigea en gmail.com
>> http://www.mfgea.com.ar
>> _______________________________________________
>> Php-avanzado mailing list
>> Php-avanzado en pato2.fi.mdp.edu.ar
>> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>>
>
>
>      Yahoo! Cocina
>
> Encontra las mejores recetas con Yahoo! Cocina.
>
>
> http://ar.mujer.yahoo.com/cocina/
> _______________________________________________
> Php-avanzado mailing list
> Php-avanzado en pato2.fi.mdp.edu.ar
> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>



-- 
Matias Fernando Gea
matigea en gmail.com
http://www.mfgea.com.ar

Más información sobre la lista de distribución Php-avanzado