Update 3:
-> Adicionado opção para adicionar ou remover Administradores
Topic: Codigo Fonte em PHP de um projecto de um site de Trafic Exchange (Read 4000 times)
February 12, 2016, 06:36:10 PM
Esse seu sistema anti injection se baseia na função sql_regcase() que é considerada obsoleta (deprecated) a partir do PHP 5.3.0 e foi removida do PHP 7. Ou seja, o script já não funciona no PHP 7.
Aquele arquivo json.php também não é necessário, basta usar as funções nativas json_encode()/json_decode().
Aquele arquivo json.php também não é necessário, basta usar as funções nativas json_encode()/json_decode().
Coitado do ZenJB
A melhor solução é mesmo migrar para PDO ou MySQLi.
Já agora, se alguém estiver interessado, eu há alguns meses criei esta classe PHP para interagir com base de dados MySQL:
https://github.com/Nixtren/MySimplifiedSQL
Recentemente descobri outro projeto que tem o mesmo objetivo que a classe que criei, mas pelos vistos é mais completa:
http://medoo.in/
Depois há sempre a outra alternativa, que é usar PDO/MySQLi há moda tradicional, escrevendo as querys manualmente
January 27, 2016, 09:47:47 AM
Esse seu sistema anti injection se baseia na função sql_regcase() que é considerada obsoleta (deprecated) a partir do PHP 5.3.0 e foi removida do PHP 7. Ou seja, o script já não funciona no PHP 7.
Aquele arquivo json.php também não é necessário, basta usar as funções nativas json_encode()/json_decode().
Aquele arquivo json.php também não é necessário, basta usar as funções nativas json_encode()/json_decode().
Coitado do ZenJB
A melhor solução é mesmo migrar para PDO ou MySQLi.
Já agora, se alguém estiver interessado, eu há alguns meses criei esta classe PHP para interagir com base de dados MySQL:
https://github.com/Nixtren/MySimplifiedSQL
Recentemente descobri outro projeto que tem o mesmo objetivo que a classe que criei, mas pelos vistos é mais completa:
http://medoo.in/
Depois há sempre a outra alternativa, que é usar PDO/MySQLi há moda tradicional, escrevendo as querys manualmente
January 26, 2016, 08:16:29 PM
Esse seu sistema anti injection se baseia na função sql_regcase() que é considerada obsoleta (deprecated) a partir do PHP 5.3.0 e foi removida do PHP 7. Ou seja, o script já não funciona no PHP 7.
Aquele arquivo json.php também não é necessário, basta usar as funções nativas json_encode()/json_decode().
Aquele arquivo json.php também não é necessário, basta usar as funções nativas json_encode()/json_decode().
January 26, 2016, 10:07:54 AM
Update 2:
-> Sistema Anti SQL-Injection implementado em todos os scripts
-> Painel administrativo adicionado (Ainda incompleto)
-> Sistema Anti SQL-Injection implementado em todos os scripts
-> Painel administrativo adicionado (Ainda incompleto)
January 26, 2016, 12:21:58 AM
mais tem programas que quebras as senhas mole, testando automaticamente em uns 28 sites, entre eles uns sites russos bem legais :3
January 23, 2016, 01:43:01 AM
Em vez da função md5 é melhor usar a função password_hash que é mais atual, melhor do que aninhar funções MD5 (vc pode inclusive configurar o "custo" nas opções da função).
Também hoje em dia é muito mais recomendado o uso da classe PDO que já elimina boa parte das chances de SQL injection: http://php.net/manual/en/intro.pdo.php
Também hoje em dia é muito mais recomendado o uso da classe PDO que já elimina boa parte das chances de SQL injection: http://php.net/manual/en/intro.pdo.php
January 20, 2016, 08:22:46 AM
(...)
A palavra passe é processada da seguinte forma:
1) Pega na palavra passe e junta a um string e faz o hash disso
2) Pega no hash obtido anteriormente como se fosse uma string e junta a outra string diferente e faz o hash em md5 disso
3) Pega no hash obtido anteriormente como se fosse uma string e junta a outra string diferente e faz o hash em bcrypt disso
4) Pega no hash obtido anteriormente e salva na base de dados
Imaginemos que um utilizador ganha acesso a base de dados e obtem o hash obtido no passo 3
A minha pergunta era: Como é que ele sabe o hash obtido no passo 2? Não tem de passar pelo hash obtido no passo 3 primeiro?
A palavra passe é processada da seguinte forma:
1) Pega na palavra passe e junta a um string e faz o hash disso
2) Pega no hash obtido anteriormente como se fosse uma string e junta a outra string diferente e faz o hash em md5 disso
3) Pega no hash obtido anteriormente como se fosse uma string e junta a outra string diferente e faz o hash em bcrypt disso
4) Pega no hash obtido anteriormente e salva na base de dados
Imaginemos que um utilizador ganha acesso a base de dados e obtem o hash obtido no passo 3
A minha pergunta era: Como é que ele sabe o hash obtido no passo 2? Não tem de passar pelo hash obtido no passo 3 primeiro?
Nesse caso você está usando a forma que eu dei como exemplo de ser mais segura. Você está acrescentando informação a cada passo:
(...)
Se quiser aumentar a segurança o que pode fazer é concatenar a senha novamente na hash antes de fazer o segundo passo:
HASH(P) = g(P || h(P))
(onde || é o operador de concatenação de strings).
Se quiser aumentar a segurança o que pode fazer é concatenar a senha novamente na hash antes de fazer o segundo passo:
HASH(P) = g(P || h(P))
(onde || é o operador de concatenação de strings).
Note que isso só funciona se essa string diferente for desconhecida do atacante.
Se a string for conhecida (mesmo que variável), um atacante que quebrar o md5 não precisa de brute force. Só precisa calcular bcrypt(string || md5_quebrado).
Se você está dizendo que o atacante demoraria mais tempo para fazer um ataque de força bruta, lembre que fazer um ataque de força bruta sobre MD5 gastaria mais tempo que a idade do universo, então dificultar ataques de força bruta é perda de tempo. Estamos falando de caso a segurança do md5 seja quebrada.
January 20, 2016, 06:42:55 AM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Não, ele só precisa fazer bruteforce no md5, o bcrypt decorre naturalmente.
fazendo o bruteforce. Não entendi a pergunta.
1) Pega na palavra passe e junta a um string e faz o hash disso
2) Pega no hash obtido anteriormente como se fosse uma string e junta a outra string diferente e faz o hash em md5 disso
3) Pega no hash obtido anteriormente como se fosse uma string e junta a outra string diferente e faz o hash em bcrypt disso
4) Pega no hash obtido anteriormente e salva na base de dados
Imaginemos que um utilizador ganha acesso a base de dados e obtem o hash obtido no passo 3
A minha pergunta era: Como é que ele sabe o hash obtido no passo 2? Não tem de passar pelo hash obtido no passo 3 primeiro?
January 19, 2016, 08:05:55 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Não, ele só precisa fazer bruteforce no md5, o bcrypt decorre naturalmente.
fazendo o bruteforce. Não entendi a pergunta.
January 19, 2016, 06:54:03 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Não, ele só precisa fazer bruteforce no md5, o bcrypt decorre naturalmente.
January 19, 2016, 01:37:46 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Não, ele só precisa fazer bruteforce no md5, o bcrypt decorre naturalmente.
January 19, 2016, 12:53:08 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
January 19, 2016, 12:16:24 AM
eu já iria passar um scan de vul no site mais o amigo ja se adiantou a mim rsrsrsrs
January 18, 2016, 06:30:22 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Fui pesquisar mais e você tá certo girino. Não diminui, mas também não aumenta a segurança.
Se quiser aumentar a segurança o que pode fazer é concatenar a senha novamente na hash antes de fazer o segundo passo:
HASH(P) = g(P || h(P))
(onde || é o operador de concatenação de strings).
January 18, 2016, 06:22:52 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Fui pesquisar mais e você tá certo girino. Não diminui, mas também não aumenta a segurança.
January 18, 2016, 05:35:28 PM
(...)
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
Entrando em mais detalhes pra quem for curioso. A segurança de uma hash está em garantir que é dificil encontrar duas senhas P e P' tal que:
HASH(P) = HASH(P').
Se eu encadeio duas hashes g() e h() da seguinte forma:
HASH(P) = g(h(P))
Então Se existe P' tal que
h(P) = h(P')
Temos que:
HASH(P) = g(h(P)) = g(h(P')) = HASH(P').
Ou seja, se a segurança de h() for comprometida, a segurança de toda a sequencia está comprometida.
January 18, 2016, 05:30:26 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
Náo, a segurança de uma sequencia de hashes é igual a segurança da m=primeira hash (no caso, o md5).
January 18, 2016, 05:00:51 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
MD5 não é um mecanismo de encryptação mas sim um mecanismo para gerar hashes tal como o bcrypt é
Surgiu agora uma duvida ao ver o seu post. Se eu usar o bcrypt em cima do MD5 será que aumenta a segurança?
January 18, 2016, 03:27:17 PM
Update 1:
-> Palavra passe encriptada três vezes usando MD5
-> Palavra passe encriptada três vezes usando MD5
A cada novo hash MD5 você está aumentando a probabilidade de collision, reduzindo a segurança da senha.
E MD5 não é um bom mecanismo de encriptar senhas pela facilidade de se fazer brute force. Use bcrypt.
Jump to: