Parooli räsimine PHP-s
Parooli salvestamine avatud kujul on vale. Häkker-õelantsakas võib saada juurdepääsu teie andmebaasile ja varastada paroolid.
Seetõttu tavaliselt salvestatakse kasutajanimi avatud
kujul, aga parool räsitakse spetsiaalse funktsiooniga
md5, mis parameetrina võtab vastu
parooli ja tagastab selle räsi, mille järgi
ei ole võimalik taastada seda sama parooli.
Leiame näiteks mõne stringi räsi:
<?php
echo md5('12345'); // väljastab '827ccb0eea8a706c4c34a16891f84e7b'
?>
Praegu peame ümber tegema meie registreerimise ja meie autoriseerimise. Alustuseks soovitaksin tühjendada kasutajate tabeli, kuna seal praegu salvestatakse paroole avatud kujul, aga peaksid salvestuma nende räsid. Seejärel testimise ajal täidetakse tabel uues vormingus andmetega.
Parandame nüüd meie registreerimist nii, et uue kasutaja salvestamisel andmebaasi lisataks mitte parool, vaid selle räsi.
Kirjeldatud parandus esindab endast midagi sellist:
<?php
$login = $_POST['login'];
$password = md5($_POST['password']); // teisendame parooli selle räsiks
$query = "INSERT INTO users SET login='$login', password='$password'";
?>
Teeme sarnased parandused autoriseerimisse:
<?php
$login = $_POST['login'];
$password = md5($_POST['password']); // teisendame parooli selle räsiks
$query = "SELECT * FROM users WHERE login='$login' AND password='$password'";
?>
Tehke muudatused registreerimisse võttes arvesse räsimist, registreerige paar uut kasutajat, veenduge, et nad lisandusid andmebaasi räsitud paroolidega.
Tehke muudatused autoriseerimisse võttes arvesse räsimist, proovige autoriseeruda eelnevalt registreeritud kasutajate alla.
