Меню
Что нового?

Вышел PHP Inside 19. Журналу 3 года!

Setor

Новичок
Ох, я уже и забыл, что есть такой журнал, несмотря на то, что прочёл каждый его номер... так редко стал выходить, но всё равно огромное спасибо!

P.S. была тут осенью бумажная версия со статьями предыдущей конференции кажись и обещали её продавать так же в электронном виде. Я хотел купить копию, но что-то всё затихло... Если такая возможность ещё осталась, пишите пожалуйста в ЛС.
 
Vladson

Vladson

Сильнобухер
Ужас, в статье о шифровании чел предлогает делать strip_tags для пароля, это же ахтунг полный, вообще ощущение что он не знает о чём пишет...

Я вообще считаю что необратимая модификация вводимых данных не допустима где бы то ни было, только валидация, но тут это полный перебор, человек явно хочет сбить новичков с толку...
 
confguru

confguru

ExAdmin
Команда форума
Вышел PHP Inside 19. Журналу 3 года!

Вышел новый номер журнала для веб-разработчиков PHP Inside, на этот раз под цифрой 19.

Темой номера стала оптимизация работы с MySQL.

Помимо того, что журналу исполняется 3 года, этот выпуск стал еще и юбилейным двадцатым, если учитывать, что стартовали мы с номера #0.

Прежде всего, редакция приняла решение сделать выпуски регулярными, хоть и не частыми - 1 раз в квартал. В промежутке между номерами мы будем публиковать статьи, обзоры и новости на сайте журнала phpinside.ru (т.е. здесь).

Традиционно напоминаем, что мы всегда нуждаемся в авторах и переводчиках статей.

- Цикл статей по оптимизации MySQL
- Инженерный анализ БД MySQL с DBDesigner
- Что такое XML Sapiens?
- Шифрование в PHP для обычных людей
- И многое другое...


Скачать новый номер можно здесь.
http://phpinside.ru/?q=node/585
 

Setor

Новичок
А тут дубликат новости: http://phpclub.ru/talk/showthread.php?s=&postid=683176#post683176
 
confguru

confguru

ExAdmin
Команда форума
Setor

Спасибо, не нашел ее сразу... просто сейчас есть линк в новостях..
 

s79

Новичок
Автор оригинала: Vladson
Ужас, в статье о шифровании чел предлогает делать strip_tags для пароля, это же ахтунг полный, вообще ощущение что он не знает о чём пишет...
Нажмите для раскрытия...
В этом согласен, особенно если учесть что он предлагает использовать односторонний хеш после, и неадекватные данные не попадут в базу в любом случае.
Автор оригинала: Vladson
Я вообще считаю что необратимая модификация вводимых данных не допустима где бы то ни было, только валидация, но тут это полный перебор, человек явно хочет сбить новичков с толку...
Нажмите для раскрытия...
Ну-ну, расскажите это, ну ... например Oracle. Это достаточно распространенная практика.
Мне не понравились следующие вещи:
  1. Предложение использования одновременно md5 и crypt, какой смысл в этом? md5 уже вполне достаточно.
  2. Вообще не указаны подводные камни crypt: типа что на разных системах будет разный хэш при втором параметре заданном по умолчанию, честно говоря вообще не понятно почему такой параметр оставили на умолчание.
    [/list=1]
 

s79

Новичок
Автор оригинала: Rammstein
Лично меня такая практика, мягко говоря, не возбуждает.
Нажмите для раскрытия...
Почему она вам не нравиться? Какие доводы против?

Кстати что еще не понравилось в статье, так это то что преобразование происходит на стороне сервера, а должно происходить еще на стороне клиента.
 
Vladson

Vladson

Сильнобухер
Автора статьи может оправдывать тот факт что смысл статьи вовсе не в том как реализовать а в том чтоб показать как не хранить пароли в открытом виде, но имхо ради этого пренебрегать кодом это полный бред. Статью будут читать новички которые не знают даже основ и давать им кривой код нельзя потому что они будут думать что статью писал спец и что если он так пишет значит так правильнее, а это не допустимо...
 

Quessir

Новичок
Автор оригинала: Vladson
Ужас, в статье о шифровании чел предлогает делать strip_tags для пароля, это же ахтунг полный, вообще ощущение что он не знает о чём пишет...

Я вообще считаю что необратимая модификация вводимых данных не допустима где бы то ни было, только валидация, но тут это полный перебор, человек явно хочет сбить новичков с толку...
Нажмите для раскрытия...
Ну почему. Туда тоже можно че-нибудь впихнуть. Главное, чтоб при проверке (авторизации) тоже был стрип_тагс. Но, хотя я тоже против этого. Через чур.

-~{}~ 16.01.07 17:45:

Автор оригинала: s79

[*] Предложение использования одновременно md5 и crypt, какой смысл в этом? md5 уже вполне достаточно.
Нажмите для раскрытия...
Да, действительно. МД5 считаю достаточто. Или сделать мд5 как в ибф-форуме.
 
tf

tf

крылья рулят
наконецто новый вышел ;)
Скачать в формате: PDF (5.8 Mb), RAR (3.4 Mb)
Нажмите для раскрытия...
подправте плиз при скачке архивом заголовки - а том мне он вместо сохранения в браузер отобразил архив :D
 
Vladson

Vladson

Сильнобухер
Quessir
Ну и пусть будет пароль <script> и что ? кому это помешает ?
 

s79

Новичок
Автор оригинала: HraKK
Quessir

Не достаточно.
crypt - достаточно.
Нажмите для раскрытия...
Обоснуете? Чем crypt лучше md5 для создания хеша пароля.

У md5
1) низкая вероятность совпадения.
2)Функция односторонняя
3)алгоритм достаточно известен для того чтобы найти реализации данного преобразования на стороне клиента, бо не должен пароль передаваться и храниться в открытом виде.
 
Vladson

Vladson

Сильнобухер
Расшифровывается (точнее брутфорсится) он раз плюнуть...
 
Wicked

Wicked

Новичок
md5 - это хэш.
crypt - это хэш* с рандомным каждый раз salt'ом + сам этот salt.
этим crypt и лучше.

* вариант c Blowfish, правда, хэшем называть не совсем корректно

-~{}~ 17.01.07 08:31:

s79
0192023a7bbd73250516f069df18b500
Сможешь за 10 секунд найти, от какой строки этот md5 ? :)

Вот именно этого недостатка практически лишен crypt().
 
Войдите или зарегистрируйтесь для ответа.
Сверху