 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 24.04.2024 - 06:13:53
Хранение пароля пользователей незашифрованным| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
pash_ka •
P гость
|
Убежден, что это порочная практика. Пользователям неприятно знать, что их пароль может быть виден владельцу сайта. А в случае взлома, пароль получит хакер.
Тем более, что исправления элементарны:
tools.php, строка 84
- $name=str_replace("|","I",$_POST['name']); $pass=str_replace("|","I",$_POST['pass']); $dayreg=$date;
+ $name=str_replace("|","I",$_POST['name']); $pass=md5(str_replace("|","I",$_POST['pass'])); $dayreg=$date;
tools.php, строка 37
- $name=str_replace("|","I",$_POST['name']); $pass=str_replace("|","I",$_POST['pass']);
+ $name=str_replace("|","I",$_POST['name']); $pass=md5(str_replace("|","I",$_POST['pass']));
tools.php, строка 206
- $pass=str_replace("|","I",$_POST['pass']);
- $oldpass=$_POST['oldpass']; // Старый пароль
+ $pass=md5(str_replace("|","I",$_POST['pass']));
+ $oldpass=md5($_POST['oldpass']); // Старый пароль
index.php, строка 73
- if ($wrfname===$realname & $wrfpass===$rdt[1]) {$ok="$i";}
+ if ($wrfname===$realname & md5($wrfpass)===$rdt[1]) {$ok="$i";}
Возможно я какие-то места упустил, т.к. не тестировал свои изменения. Но, думаю, автору не составит труда их найти и поменять. | |
|
| Сообщение # 1 |
20.03.06 - 21:35:57
|  |
vladik-kiev •
V гость
|
слуш, если это работает, то ты просто молодец!
Михаил, ждем вашего вердикта=))) | |
|
| Сообщение # 2 |
20.03.06 - 22:58:21
| |
pash_ka •
P гость
|
Проблема в том, что такое изменение поломает совместимость с существующими инсталляциями и следовательно у тех кто хочет апгрейдится будут проблемы.
Нужно будет сделать ещё скрипт-конвертер.
И я нашел ешё одно место - там где пароль высылается на почту.
В принципе там тоже проблема решается - генерится новый пароль, и он сохраняется аналогично тому как это проиходит при изменении пароля пользователем.
Но только с теми модификациями которые я написал выше эта функция работать не будет, т.к. пользователю будет выслан хэш пароля. | |
|
| Сообщение # 3 |
21.03.06 - 02:33:08
| |
WR •
W Участник форума
|
Я всё прекрасно понимаю, что нужно кодировать пароли, НО в скрипте имеются уязвимости, которые можно вытворять зная чужой пароль. Я хочу найти максимальное кол-во таких уязвимостей и закрыть их и лишь затем взяться за проблему с паролями.
Обязательно буду убирать пароли в открытом виде, но позже, в версии 2.0 форума - которая и будет как раз полностью НЕ совместима по БД с предыдущими версиями форума.
Конечно, замена указанных выше строк это полбеды - нужно менять механизм блока "Забыли пароль". | |
|
| Сообщение # 4 |
21.03.06 - 06:12:35
|
|
vladik-kiev •
V гость
|
ОГО! Еще черт знает сколько ждать... | |
|
| Сообщение # 5 |
21.03.06 - 19:01:36
| |
pash_ka •
P гость
|
WR,
Sorry, но чем отличается знание чужого пароля от знания своего собственного пароля с точки зрения поиска уязвимостей? И чем, с этой точки зрения, знание хэша - хуже?
| |
|
| Сообщение # 6 |
21.03.06 - 21:12:32
| |
Kilare@inbox.lv •
K гость
|
Когда выйдет эта версия...я уже давно ждуууу  | |
|
| Сообщение # 7 |
18.06.06 - 19:10:10
| |
Kilarez@inbox.lv •
K гость
|
|
| Сообщение # 8 |
18.06.06 - 19:10:46
| |
WR •
W Участник форума
|
Точно не скоро. В 2007 году, наверное  | |
|
| Сообщение # 9 |
19.06.06 - 16:21:43
| |
Kilarez@inbox.lv •
K гость
|
Мдеее ну хотябы сообрази бету версию с зашифрованным паролем...мы смертные будем благодарны тебе  | |
|
| Сообщение # 10 |
28.06.06 - 18:06:45
| |
WR •
W Участник форума
|
осенью возмусь за программирование. | |
|
| Сообщение # 11 |
30.06.06 - 13:00:08
| |
Kilarez@inbox.lv •
K гость
|
Вот блин осенью эт тоже буит поздно....Админ прошу тебя от всех народов балтики НЕДАЙ ПОИМЕТЬ наши вр-скрипты зашифруй пароли плз | |
|
| Сообщение # 12 |
19.07.06 - 22:36:03
| |
|
Главная сайта