Prechod zo sha1 na lepší algoritmus – PHP – Fórum – Programujte.com

Ahojte, potreboval by som upraviť algoritmus. Doteraz som využíval sha1 na ukladanie hesla, jednoducho je sha1 pred heslom v registrácii a taktiež aj pri prihlásení a skrátka skúma, či sa to zhoduje, skúsil som sha512, nešlo mi to, po odoslaní formulára sa formulár nezobrazil. Pri crypt mi urobila iný hash aj pri tých istých heslách. Potreboval by som nejaký štandard, ktorý sa využíva, ktorý je silný a počíta sa pomalšie ako md5 atď.  
V registrácii:  

$ins3 = mysqli_query($con,"INSERT INTO `user` (`username`,`password`,`email`,`fraction`,`activated`,`code`) VALUES ('$username', '".sha1($password)."', '$email', '$frakcia', 0, '$code')") or die (mysqli_error($con));

Pri prihlásení:
 

 $login_check = mysqli_query($con,"SELECT `id` FROM `user` WHERE `username`='$username' AND `password`='".sha1($password)."'") or die (mysqli_error($con));

Ako vhodne by som to mal nahradiť? Nerobím s týmito vecami denne potreboval by som niečo ako password_hash a verify so saltom, ak by ste mi vedeli pomôcť, skúšal som príklady z php.net ale bezúspešne.

#1 PHP-čkar
Použij standardní PHP funkce password_hash a password_verify. Jinak ten tvůj kód je možná náchylný na SQL Injection. Pokud ten kód pro ověření hesla používáš v produkčním prostředí a neescapuješ proměnné, tak by ses do takového systému mohl dostat, aniž bys heslo skutečně znal. V rámci bezpečnosti mrkni i na prepared statements.

:) Si myslim, ze sha1 je dostacujici pro zatim nefungujici projekt. Zbytecne ztracis cas, ktery muzes venovat ostatnim castem hry. Az tam budes mit tak 50 lidi, tak pak ma smysl se tim zabyvat, muzes tydny predelavat prihlasovani v testovaci slozce. Dokonce ji muzes zverejnit, aby ti to obcas otestovali hraci nez prepises oficialni verzi.

Vis, jak probiha slovnikovy utok?
- zkusi se nejcastejsi hesla, 1000
- zkusi se md5(nej. hesla)
- zkusi se md5(md5(nej. hesla))
- podobne tabulky pro sha1
- podobne pro kombinace md5(user + nej. hesla)
To mas treba 50.000 moznosti. Takze, tak jak to mas napsane, tam neni zadna bezpecnost.
- Minimalne bys tam musel pridat dalsi retezec.
- Pak bys musel zabezpecit, aby uzivatel nezustal nekde prihlaseny, protoze prohlizec si do zavreni okna vetsinou drzi session.
- Take heslo nejcasteji odkouka sestra, kamarad, kdyz ti stoji za zady.
- A kdyby slo o komercni sw, tam se to resi nejcasteji tak, ze dojdes do firmy. Tvrdis, ze jsi objednany IT a mas neco provest na pc, ze za 15 minut problem vyresis, staci, kdyz se ti uzivatel naloguje. Idealni cas je pred ucetni uzaverkou, kdy ta pani nema cas. Ze ty si tam nahravas z flashky malware a ruzne odchytavace klavesnice posilajici text nesifrovane nekam na inet, to ji nezajima, nemusi si vsimnout :)

 
SQL injection

$login_check = mysqli_query($con,"
SELECT `id` 
FROM `user` 
WHERE `username`='$username' AND `password`='".sha1($password)."'
") or die (mysqli_error($con));

WHERE `username`='$username'
Doufam, ze mas $username dobre escapovane, protoze, kdybych ti do formularoveho policka zadal
$username = ' OR '1'='1
dostanes sql prikaz, podminku
WHERE `username`='$username'
WHERE `username`='' OR '1'='1' -- prvni je false, ale druha podminka je true
:) Pak mne prihlasi na prvniho uzivatele. Samozrejme, ty tam mas dal jeste heslo, ale toho by se dalo take zbavit jiste nejakou fintickou, treba " nebo ;"
"...WHERE `username`='' OR '1'='1'" - string zacina dvojitou uvozovkou a take ji konci.

Skus to: http://lfs-league.php5.sk/ Verím, že je to good zabezpečené.