как правильно шифровать пароли

Тема в разделе "Базы данных", создана пользователем guru85, 23 фев 2014.

Статус темы:
Закрыта.
Модераторы: latteo
  1. guru85

    guru85 Постоялец

    Регистр.:
    24 мар 2010
    Сообщения:
    134
    Симпатии:
    3
    Суть в том, что в моей бд mysql храниться пароль пользователя от его блога на wordpress, который мне необходимо использовать для того, что бы ему отправить данные по xmlrpc через простой php скрипт. Сейчас пароль хранится в бд без шифрования, выходит если мой сайт и бд взломают получат доступ к блогам пользователей. Вопрос, есть ли возможность хранить пароли в зашифрованно виде, типа md5 или как то подругому. Просто если в md5 то неполучается его использовать в скрипте, могу только сравнить хеш насколько я понял, а мне надо его в виде переменной подставить.

    у меня не вордпресс, у меня мой самомписный скрипт, который берет пароль и записываетв мою бд, а потом берет от туда и подставляет. Вопрос в том как правильно хранить эти пароли в бд, что бы их не уперли. Если его хранить в md5 то я не смогу его использовать судя по всему.
     
    Последнее редактирование модератором: 24 фев 2014
  2. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.401
    Симпатии:
    1.182
    crc, md5, sha-* - алгоритмы хеширования. Такое шифрование необратимо.

    Для твоей задачи подойдут функции из http://ua1.php.net/manual/ru/book.mcrypt.php или аналог для твоего ЯП (языка программирования). Гугли - "обратимое шифрование xxx", вместо ххх - название языка. Данная защита поможет от утечки БД или sql-inj. Но при получении доступа к файлам, вероятнее всего, пароли будут с легкостью скомпрометированы - ведь ключ декода придётся хранить в файлах на сервере...
     
    Последнее редактирование: 24 фев 2014
  3. ishkval

    ishkval Постоялец

    Регистр.:
    2 окт 2013
    Сообщения:
    102
    Симпатии:
    35
    Добавлю к тому что сказал latteo, файл можно закодировать чем нибудь типо ioncube или zend optimizer, правда это в теперешнее время не особо добавит безопасности. Как вариант ещё сделать базу на другом хостинге и уже отдавать пароли следующему хостингу только сверяя некоторые уникальные данные.
     
Статус темы:
Закрыта.