Jsem se chtel zeptat jak zalozim nejakeho uzivatele k databazi ktery bude mit prava jen cist tj SELECT .
k dispozici je pouze jeden uzivatel na databazi se vsemi pravy (krome grant), s tim musite vystacit
a jak se udela neco abych nemusel mit v php skriptu heslo v nekodovane podobe?
Ja tusim, ze s tim nic neudelas .... mozna bys to mohl cist z jinyho souboru, ale pokud jde o bezpecnost, tak s tim si moc nepolepsis ...
Ja osobne to delavam tak, ze mam ini soubor, kde mam hesla a jiny nastaveni ...
settings.ini.php :
; <? /*><!--
WebServer=localhost:8037/pogl
DBServer=localhost
DBName=maindb
DBPass=fantomas
MailServer=localhost
; --><!*/ ?>
K cemu jsou dobry ty klikyhaky, asi kazdy pochopi :o)
Mozna jeste vymyslet nejaky dumyslny hashovani ... ale ... kdyz se ti nekdo dostane ke zdrojaku PHP ... kdyz se dokaze pripojit script, dokaze se pak dotycny pripojit taky :/
Nebo se pletu ?
Radek
Radek: ke zdrojaku na wz se dostane ale jenom admin a ten to nikde nevykeca.Jestli se ti nekdo dostane ke zdrojakum doma, je to tvoje chyba...
daros: podivej se na fci Crypt() (aspon myslim), ta by ti mohla pomoct (podle toho,jestli potrebujes heslo k db , nebo treba porovnavas retezec=heslo s retezcem zadanym v tetovym poli.
do-
Doomy: Nejde o to, ze by to vykecal admin ... ale staci treba aby se trosku "porouchalo" nastavenmi apache a on ten script neprohnal PHP parserem ... a mas heslo u klienta :o)
Vim, ze ta pravdepodobmost je miziva, ale ... znas to, muzeli se neco pokazit, pak se to ... pos*.
Radel
za prve - ja jsem Donny, a ne Doomy. S tim asi nic neuděláš. Zkus použít include() a když se to podělá, aspoň to nebude rovnou v tom zdorjáku, ale to už vlastně napsal Radek.
Lukasik: co takhle crypt($string, CRYPT_MD5); ???? Neni to cirou nahodou to samy?
Mno je no... Ale já osobně jsem crypt() nikdy nepoužívál vždy md5()
Jinak existuje něco, co dokáže string zakódovat i odkódovat???
bohuzel (bohudik) neexistuje desifrovaci funkce k algoritmu md5. To platí i mimo PHP. Určitě vis neco o elektronickem podpisu...
Mno já nemyslel jen k md5() o elektronickém podpisu nic moc nevím:-(( Hodlém to ale asi brzy zjištovať...
Ja bych mozna o jednom desifrovacim algoritmu vedel ... udelat tabulku o dvou sloupcich ... jeden s textem a druhym s jeho hashem md5() ... pak uz by nebyl problem obracene k hashi hledat text ...
... ale obavam se, ze by ta tabulka byla krapet vetsi ;~)))
Radek
Napadlo mě to taky, ale nevím nevím zda by to šlo...
Jasne ze by to slo (ikdyz nejednaznace) ... ale zkus si jen tak cvicne prepocitat, jak by ta tabulka byla velika, myslim, ze by ti 2MB ve zdejsim MySQL nestali :))) ... mel to byt vtip :o)
Radek
md5 neni na to, aby se zpetne dekodoval. slouzi k vytvoreni jednoznacneho otisku retezce a neni potrebne nebo nutne jej zpetne dekodovat.
m.s.
mimochodem, na co ti je kodovaci fce, kterou dokazes zpatky jednoduse dekodovat...
na to pak staci starej dobrej xor...
<HTML>jednosmerne funkce jsou sakramensky dulezite, to by ses asi divil ;)
vysvetlovat to tady nebudu, kup si treba applied cryptography od schneiera (cca $50)</HTML>
rikal sem, ze fce, co jdou jednoduse dekodovat, nemaj prakticky smysl (pro ukladani hesel a podobnejch udaju)
j