Бесплатные PHP скрипты - форум техподдержки

Бесплатные PHP скрипты - форум техподдержки

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 14.07.2024 - 10:06:45
Страницы:  1  2  

Хранение пароля пользователей незашифрованным

Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.

АвторСообщение

pash_ka

P
гость

Убежден, что это порочная практика. Пользователям неприятно знать, что их пароль может быть виден владельцу сайта. А в случае взлома, пароль получит хакер.
Тем более, что исправления элементарны:
tools.php, строка 84
- $name=str_replace("|","I",$_POST['name']); $pass=str_replace("|","I",$_POST['pass']); $dayreg=$date;
+ $name=str_replace("|","I",$_POST['name']); $pass=md5(str_replace("|","I",$_POST['pass'])); $dayreg=$date;

tools.php, строка 37
- $name=str_replace("|","I",$_POST['name']); $pass=str_replace("|","I",$_POST['pass']);
+ $name=str_replace("|","I",$_POST['name']); $pass=md5(str_replace("|","I",$_POST['pass']));

tools.php, строка 206
- $pass=str_replace("|","I",$_POST['pass']);
- $oldpass=$_POST['oldpass']; // Старый пароль
+ $pass=md5(str_replace("|","I",$_POST['pass']));
+ $oldpass=md5($_POST['oldpass']); // Старый пароль


index.php, строка 73
- if ($wrfname===$realname & $wrfpass===$rdt[1]) {$ok="$i";}
+ if ($wrfname===$realname & md5($wrfpass)===$rdt[1]) {$ok="$i";}


Возможно я какие-то места упустил, т.к. не тестировал свои изменения. Но, думаю, автору не составит труда их найти и поменять.

Сообщение # 1 20.03.06 - 21:35:57

vladik-kiev

V
гость

слуш, если это работает, то ты просто молодец!
Михаил, ждем вашего вердикта=)))

Сообщение # 2 20.03.06 - 22:58:21

pash_ka

P
гость

Проблема в том, что такое изменение поломает совместимость с существующими инсталляциями и следовательно у тех кто хочет апгрейдится будут проблемы.
Нужно будет сделать ещё скрипт-конвертер.

И я нашел ешё одно место - там где пароль высылается на почту.
В принципе там тоже проблема решается - генерится новый пароль, и он сохраняется аналогично тому как это проиходит при изменении пароля пользователем.
Но только с теми модификациями которые я написал выше эта функция работать не будет, т.к. пользователю будет выслан хэш пароля.

Сообщение # 3 21.03.06 - 02:33:08

WR

W
Участник форума

Я всё прекрасно понимаю, что нужно кодировать пароли, НО в скрипте имеются уязвимости, которые можно вытворять зная чужой пароль. Я хочу найти максимальное кол-во таких уязвимостей и закрыть их и лишь затем взяться за проблему с паролями.

Обязательно буду убирать пароли в открытом виде, но позже, в версии 2.0 форума - которая и будет как раз полностью НЕ совместима по БД с предыдущими версиями форума.

Конечно, замена указанных выше строк это полбеды - нужно менять механизм блока "Забыли пароль".

Сообщение # 4 21.03.06 - 06:12:35

vladik-kiev

V
гость

ОГО! Еще черт знает сколько ждать...

Сообщение # 5 21.03.06 - 19:01:36

pash_ka

P
гость

WR,
Sorry, но чем отличается знание чужого пароля от знания своего собственного пароля с точки зрения поиска уязвимостей? И чем, с этой точки зрения, знание хэша - хуже?

Сообщение # 6 21.03.06 - 21:12:32

Kilare@inbox.lv

K
гость

Когда выйдет эта версия...я уже давно ждуууу

Сообщение # 7 18.06.06 - 19:10:10

Kilarez@inbox.lv

K
гость

будет ли она бесплатна?

Сообщение # 8 18.06.06 - 19:10:46

WR

W
Участник форума

Точно не скоро. В 2007 году, наверное

Сообщение # 9 19.06.06 - 16:21:43

Kilarez@inbox.lv

K
гость

Мдеее ну хотябы сообрази бету версию с зашифрованным паролем...мы смертные будем благодарны тебе

Сообщение # 10 28.06.06 - 18:06:45

WR

W
Участник форума

осенью возмусь за программирование.

Сообщение # 11 30.06.06 - 13:00:08

Kilarez@inbox.lv

K
гость

Вот блин осенью эт тоже буит поздно....Админ прошу тебя от всех народов балтики НЕДАЙ ПОИМЕТЬ наши вр-скрипты зашифруй пароли плз

Сообщение # 12 19.07.06 - 22:36:03
Использование <? вместо <?php :Предыдущая темаСледующая тема: Использование $HTTP_HOST и $PHP_SELF
Страницы:  1  2  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
Ответ на вопрос: (Какой сейчас год?)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.3 UTF-8 beta версия