Mailinglisten-Archive |
On Wed, 26 Jan 2000, Steffen Sander wrote:
> Armin Steiner schrieb:
> > 3.
> > Bei erfolgter Authentifizierung die ID des Benutzers durch einen
> > eigenen Verschlüsselungsalgorithmus codiert mitschleppen, damit
> > es keinem zu leicht gemacht wird.
>
> mit crypt() habe ich das mal getestet.
> Über ein Formular wurde das PW vergeben, mit crypt() verschlüsselt in die
> Datenbank
> eingetragen, aber beim Login wurde ein anderer String durch crypt()
> erzeugt.
> Wie hast Du das Problem gelöst?
>
Du musst, bevor Du die Usereingabe durch crypt() schickst den
salt (die ersten zwei Zeichen) aus dem gespeicherten pw holen und dieses als
salt für die Usereingabe verwenden. Also:
$salt = substr ($Upasswd,0,2);
$Cpasswd = crypt($Upassword,$salt);
$suffix="&attempt=2";
IF ($Cpasswd != $Upasswd):
include($file);
exit;
ENDIF;
$Upasswd=gespeichertes Passwort
$Upassword=eingegebenens Passwort
Sind die unterschiedlich fliegt der Mensch raus,
wenn nicht geht es weiter ...
CU
--
+---------------------------------------------------------+
|Michael Renner | |
|MPI fuer biologische Kybernetik |Phone: +49-7071-601-638|
|Spemannstr.38, D-72076 Tuebingen |FAX: +49-7071-601-616|
|michael.renner_(at)_tuebingen.mpg.de | |
+----------------------------------------------------ESC:wq
php::bar PHP Wiki - Listenarchive