---

Hej

Jeg bruger funktionen crypt() når jeg skal have oprettet brugere. Noget a'la

<?
$password = "topsecret";
$encrypted = crypt($password, "");
echo $encrypted;
?>

Nu vil jeg så gerne lave så brugeren selv kan ændre sit password ved at
angive sit nuværende og nye password.
Men hvordan checker jeg om nuværende password er korrekt ?


Mvh, Poul

---

On Sat, 21 Jul 2001 20:50:14 +0200, "Poul Møller Hansen"
<ph-list@teleservice.com> wrote:

>Nu vil jeg så gerne lave så brugeren selv kan ændre sit password ved at
>angive sit nuværende og nye password.
>Men hvordan checker jeg om nuværende password er korrekt ?

Cryptér det brugeren indtaster og sammenlign de to crypt'ede strenge

/Jesper

---

Jo men problemet er bare at scriptet giver forskelligt output hver gang det
køres.

Poul


> Cryptér det brugeren indtaster og sammenlign de to crypt'ede strenge
>
> /Jesper

---

---

Jeg har faktisk en rand() funktion der, men med en konstant bliver de 2
første katakterer altid de samme.
Det kan vel kun give mindre sikkerhed. Hvis der er nogen der kan læse de
krypterede data ud selvfølgelig.

> Hmm.... Du mangler også en parameter i din crypt() funktion.
>
> Fra PHP manualen: "If the salt argument is not provided, one will be
> randomly generated by PHP"
>
> Det er derfor du får noget forskelligt hver gang.
>
> Prøv f.eks. følgende:
> $encrypted = crypt($password, CRYPT_STD_DES)
>
>

---

On Sat, 21 Jul 2001 21:29:02 +0200, "Poul Møller Hansen"
<ph-list@teleservice.com> wrote:

>Jeg har faktisk en rand() funktion der, men med en konstant bliver de 2
>første katakterer altid de samme.
>Det kan vel kun give mindre sikkerhed. Hvis der er nogen der kan læse de
>krypterede data ud selvfølgelig.

Det er noget jeg ikke forstår...

Hvis du bruger en rand() funktion, så vil dit resultat af crypt()
funktionen altid ændre sig - Hvordan kan du så nogensinde checke om en
bruger har indtastet korrekt password og derved lukke denne ind?
Eller er brugerens password måske resultatet af crypt() funktionen,
hvilket jo nok er en dårlig idé?

Du må nødvendigvis have en algoritme der krypterer en given streng til
det samme hver gang ellers ser jeg ingen mulighed for at kunne gemme
dette f.eks. i en database og sammenligne med hvad en bruger
indtaster.

Eller hva'? :)

/Jesper

---

> Hvis du bruger en rand() funktion, så vil dit resultat af crypt()
> funktionen altid ændre sig - Hvordan kan du så nogensinde checke om en
> bruger har indtastet korrekt password og derved lukke denne ind?
> Eller er brugerens password måske resultatet af crypt() funktionen,
> hvilket jo nok er en dårlig idé?
>
> Du må nødvendigvis have en algoritme der krypterer en given streng til
> det samme hver gang ellers ser jeg ingen mulighed for at kunne gemme
> dette f.eks. i en database og sammenligne med hvad en bruger
> indtaster.
>

Jeg bruger det til AuthMySQL. Jeg har ingen anelse om hvordan den validerer
passwordet.
Jeg vil prøve idéen fra Christian Jørgensen.

Mange tak for svarene alle sammen,
Poul

---

On Sat, 21 Jul 2001 22:17:58 +0200, "Poul Møller Hansen"
<ph-list@teleservice.com> wrote:

>Jeg bruger det til AuthMySQL. Jeg har ingen anelse om hvordan den validerer
>passwordet.

Aha... SVJH så benytter AuthMySQL .htaccess som indgangsvinkel. Hvis
du smider din password-skifte-side i den del der kræver login, så er
det vel ikke nødvendigt at få brugerens gamle password ved skifte til
et nyt, da denne jo nødvendigvis allerede vil være logget på.

/Jesper

---

On Sat, 21 Jul 2001 22:17:58 +0200, "Poul Møller Hansen"
<ph-list@teleservice.com> wrote:

>Jeg bruger det til AuthMySQL. Jeg har ingen anelse om hvordan den validerer
>passwordet.

Iøvrigt så kan mySQL selv klare krypteringen til brug for AuthMySQL,
hvorfor man slet ikke behøver at kode sig ud af noget når ovennævnte
modul benyttes.

Eksempelvis: INSERT INTO mintabel (passwd) VALUES(PASSWORD('mitpw'))

/Jesper

---

"Poul Møller Hansen" <ph-list@teleservice.com> writes:

> Jo men problemet er bare at scriptet giver forskelligt output hver gang det
> køres.

Kan du ikke bruge en MD5-sum i stedet for crypt()?

P.S. <http://www.usenet.dk/netikette/quote.html>.

--
Jacob
It compiles, let's ship it!

http://www.bunk.cc - nu med Emacs effekt

---

Poul Møller Hansen wrote:

> Jo men problemet er bare at scriptet giver forskelligt output hver gang
> det køres.

Husk det andet argument til crypt:

crypt("adgangskode", "a");

--
Jonas Koch Bentzen

---

Poul Møller Hansen <ph-list@teleservice.com> wrote:

> Jo men problemet er bare at scriptet giver forskelligt output hver gang
> det køres.

Jeg vil lige ridse op for dig hvordan man crypterer med crypt(), og
verificerer det efterfølgende.

1. Brugeren indtaster sit password han vil bruge. det krypteres med:

crypt($password);

Resultatet gemmes i databasen

2. Når brugeren efterfølgende skal logge ind indtaster han sit password i
formularen og du checker med:

$db_password = "auNJuhd4sx2"; // password fra database

if (crypt($password, substr($db_password,0,2) == $db_password)
print "Password'et er korrekt!";
else
print "How lame are you?";

Altså, du bruger de 2 første karakterer i det krypterede password som
salt i crypt().

Håber du kan bruge det.

--
Christian Jørgensen | "Ford, you're turning into a penguin"
http://www.razor.dk | "Stop it"