пароли на форуме 2.0.0 ?

[Anna]

Мне вот надо сделать один сервис, который работал бы только для зарегистрированных на форуме аккаунтов. Для этого мне нужно, чтобы вводимый пользователем пароль сверялся с тем (зашифрованным), который хранится в базе в таблице ibf_members.

Я заметила, что в 2.0 вместо одного поля с паролем, стало два:

legacy_password

member_login_key

 

Забавен факт, что для части пользователей (которые регились еще до апгрейда 1.3->2.0) пароль лежит во втором поле, зашифрованный функцией MD5() . А для пользователей, которые регились уже после апгрейда, эта схема не работает.

 

Подскажите пожалуйста, какова система хранения паролей? В чем логика? Как сравнить введенный пароль с имеющимся в базе?

Спасибо

 

П.С. Сейчас у меня стоит такая проверка, но она работает только для "старых" юзеров:

 

if (  ($row['member_login_key'] == md5($input_password)) || ($row['legacy_password'] == md5($input_password)) )

($row - это строка данный из SQL запроса по таблице пользователей)

по всей видимости первая часть некорректна...

[Cepera]

открываем файл sources/register.php

вот как происходит добавление пароля (проверки на длину опущены):

	 $in_password = trim($ibforums->input['PassWord']);
 $salt     = $ibforums->converge->generate_password_salt(5);
 $passhash = $ibforums->converge->generate_compiled_passhash( $salt, md5($in_password) );
 $converge = array( 'converge_email'     => $in_email,
        'converge_joined'    => time(),
        'converge_pass_hash' => $passhash,
        'converge_pass_salt' => str_replace( '\\', "\\\\", $salt )
      );
 $DB->do_insert( 'members_converge', $converge );

 

то есть информация кладется в таблицу 'members_converge'

аналогия по сравнению думаю ясна?

[Anna]

Пока что-то не очень. А кто из них реальный пароль? 'converge_pass_hash' ?

 

т.е. $salt - мне нужно взять из таблицы 'members_converge'

запросить пароль, а потом сделать:

$passhash = $ibforums->converge->generate_compiled_passhash( $salt, md5($in_password) );

?

[Cepera]

верно

 

 

как вариант, смотрим файл sources/login.php

	 $password = md5( $ibforums->input['PassWord'] );
 if ( $ibforums->converge->converge_authenticate_member( $password ) != TRUE )
 {
	 $this->log_in_form( 'wrong_pass' );
 }
// до этого выдергивается $member
 if ( ! $member['member_login_key'] )
 {
	 $member['member_login_key'] = $ibforums->converge->generate_auto_log_in_key();

	 $DB->do_update( 'members', array( 'member_login_key' => $member['member_login_key'] ), 'id='.$member['id'] );
 }

[Anna]

Ага. Большое спасибо.

У меня все заработало.

[Heckfy]

все вроде бы понятно, только вот не знаю где искать данный класс..

 

$passhash = $ibforums->converge->generate_compiled_passhash( $salt, md5($in_password) );

 

хотелось бы сделать так, чтобы можно было не зависимо от форума обрабатывать:

$ibforums->converge->generate_compiled_passhash( $salt, md5($in_password) );

[Anna]

Выкладываю авторизацию для 2.0.х

 

$login - ввод логина

$password - ввод пароля

 

  $result = mysql_query("SELECT * FROM ibf_members WHERE name='".$login."'");
 //if found
 if ($row = mysql_fetch_array($result))
 {
	 $tmp_id = $row[id]; //get user id
	 $result = mysql_query("SELECT * FROM ibf_members_converge WHERE converge_id='".$tmp_id."'");
	 $converge = mysql_fetch_array($result);
	 $converge_passhash = $converge['converge_pass_hash'];
	 $converge_passsalt = $converge['converge_pass_salt'];
	 $my_passhash = $generate_compiled_passhash( $converge_passsalt, md5($password) );
	 if ($converge_passhash == $my_passhash )
	 { // password is ok
....
	 } // password is ok
} else { //user not found
....
}


function generate_compiled_passhash($salt, $md5_once_password)
{
 return md5( md5( $salt ) . $md5_once_password );
}

 

 

Heckfy - забей на класс. Вот тебе твоя функция - generate_compiled_passhash - она маленькая и простая.

 

И еще обратите внимание, что объект $DB тут не участвует, т.е. тебе форум вообще нафиг не нужен. Тут напрямую с базой идет работа.

 

Мною опробовано. Юзаю уже год на сайте.

[Heckfy]

Как раз это мне и надо было, большое спасибо сэкономили мое время[1117710517:1117715881]Модифицировал данный код для ЭКОНОМЩИКОВ запросов БД

кому-нибудь может и пригодится..

 

----------------------

$name - имя введенное пользователем;

$pass - введенный пароль.

 

$r = mysql_query("SELECT m.id, m.name, c.converge_pass_hash, c.converge_pass_salt FROM ibf_members m, ibf_members_converge c WHERE m.name='${name}' AND m.id=c.converge_id") or die("Ошибка запроса");
if (@mysql_num_rows($r)!=1) {die("Не правильно задан логин!");}
list($id, $name, $converge_passhash, $converge_passsalt) = mysql_fetch_row($r);
$passhash = gen_passhash($converge_passsalt,md5($pass));
if ($converge_passhash != $passhash ) {die("Не правильно задан пароль!");}

function gen_passhash($salt, $md5_once_password)
{
return md5( md5( $salt ) . $md5_once_password );
}

 

Если заметите ошибки, то попраьте.

 

Огромное спасибо Анне и Сереге

[dfc_darkman]

Паждите...

Этот скрипт типа можно использовать для разных там своих скриптов?

т.е. я хочу написать какой-нибудь скрипт

например АФИШИ или чего-то там еще или просто для сайта

и можно использовать его?

т.е. на сайте чел ввёнл лог и пасс через этот скрипт и данные беруться из базы мемберов форума? а можно же будет переделать аутендификацию любого скрипта под эту?( под форум)

спасибо

[Anna]

Ну типа того, только die() -имхо это грубовато

Можно просто возвращать код ошибки и обрабатывать его, выводя нужное сообщение.

[dfc_darkman]

согласен

нада что бы как везде

"Не хотите зарегица?": ) А может Вы забыли пароль!?

[M^2]

А кто-нибудь знает, зачем тогда нужен legacy_password, который хранится в общей таблице?

[Elfet]

А можно как-нибудь переконвертировать в обычные пароли?

[Anna]

что переконвертировать? и что такое обычные пароли (в открытом виде что ли)?

[Heckfy]

Паждите...

Этот скрипт типа можно использовать для разных там своих скриптов?

т.е. я хочу написать какой-нибудь скрипт

например АФИШИ или чего-то там еще или просто для сайта

и можно использовать его?

т.е. на сайте чел ввёнл лог и пасс через этот скрипт и данные беруться из базы мемберов форума? а можно же будет переделать аутендификацию любого скрипта под эту?( под форум)

спасибо

<{POST_SNAPBACK}>

 

совершенно верно, я таким образом скрестил свой чат с форумом и с другими разделами.

 

Ну типа того, только die() -имхо это грубовато

Можно просто возвращать код ошибки и обрабатывать его, выводя нужное сообщение.

<{POST_SNAPBACK}>

 

это уже по вкусу лично я использую функцию error() которая показывает всяческие ошибки и сообщения.

 

согласен

нада что бы как везде

"Не хотите зарегица?": ) А может Вы забыли пароль!?

<{POST_SNAPBACK}>

 

тоже можно

 

А кто-нибудь знает, зачем тогда нужен legacy_password, который хранится в общей таблице?

<{POST_SNAPBACK}>

 

не уверен на все сто, но по моему она нам больше не нужна, по крайней мере мне

 

А можно как-нибудь переконвертировать в обычные пароли?

<{POST_SNAPBACK}>

 

а зачем? не советую.. ради безопасности пользователей и себя.

а в общем можно, только придется файл регистрации немного поправить, а так же авторизацию..

[X@MиЛь]

извините но немогли бы расказать в чём проблема. я тему почитал но в чём вопрос так и не понял...

[nio]

извините но немогли бы расказать в чём проблема. я тему почитал но в чём вопрос так и не понял...

<{POST_SNAPBACK}>

 

 

мне тоже очень интересно...

[Anna]

когда я создавала эту тему, мне надо было понять каким образом происходит авторизация на форуме, чтобы сделать свой модуль безопасности, реализующий интеграцию ряда моих примочек для сайта с форумом (чтобы использовать базу пользователей логины+пароли для разделения доступа к этим самым примочкам).

 

Что в итоге получилось, вот в этом посте:

пароли на форуме 2.0.0 ? (пост 7)

[Anna]

Немного новой информации - к вопросу о безопасности.

Т.к. осуществляется поиск пользоватся в базе по логину, делается очистка с помощью штатной (слегка модифенной) функции clean_value().

 

В функции cleanvalue - везде где после & стоит пробел - его надо убрать. Пришлось пробел добавить, а то парсится сразу.

 

 $login = clean_value($login);
$result = mysql_query("SELECT * FROM ibf_members WHERE name='".$login."'");
//if found
if ($row = mysql_fetch_array($result))
{
 $tmp_id = $row[id]; //get user id
 $result = mysql_query("SELECT * FROM ibf_members_converge WHERE converge_id='".$tmp_id."'");
 $converge = mysql_fetch_array($result);
 $converge_passhash = $converge['converge_pass_hash'];
 $converge_passsalt = $converge['converge_pass_salt'];
 $my_passhash = $generate_compiled_passhash( $converge_passsalt, md5($password) );
 if ($converge_passhash == $my_passhash )
 { // password is ok
....
 } // password is ok
} else { //user not found
....
}


function generate_compiled_passhash($salt, $md5_once_password)
{
return md5( md5( $salt ) . $md5_once_password );
}

   function clean_value($val)
   {
   
   	if ($val == "")
   	{
     return "";
   	}
   
   	$val = str_replace( "& #032;", " ", $val );
   	
//$val = str_replace( chr(0xCA), "", $val );  //Remove sneaky spaces
   	
   	$val = str_replace( "&"            , "& amp;"         , $val );
   	$val = str_replace( "<!--"         , "& #60;& #33;--"  , $val );
   	$val = str_replace( "-->"          , "--& #62;"       , $val );
   	$val = preg_replace( "/<script/i"  , "& #60;script"   , $val );
   	$val = str_replace( ">"            , "& gt;"          , $val );
   	$val = str_replace( "<"            , "& lt;"          , $val );
   	$val = str_replace( "\""           , "& quot;"        , $val );
   	$val = preg_replace( "/\n/"        , "<br />"        , $val ); // Convert literal newlines
   	$val = preg_replace( "/\\\$/"      , "& #036;"        , $val );
   	$val = preg_replace( "/\r/"        , ""              , $val ); // Remove literal carriage returns
   	$val = str_replace( "!"            , "& #33;"         , $val );
   	$val = str_replace( "'"            , "& #39;"         , $val ); // IMPORTANT: It helps to increase sql query safety.
   	
$val = preg_replace("/([0-9]+);/s", "\\1;", $val );

$val = stripslashes($val);
   	
   	// Swop user inputted backslashes
   	
   	$val = preg_replace( "/\\\(?!|?#)/", "& #092;", $val ); 
   	
   	return $val;
   }

Изменено 8 Декабря 2005 пользователем Anna

[SAT]

а зачем что-то придумывать? может лучше отдать данные из формы логина форуму? он сам обработает запишет ответ в куки... потом редиректнуть на сайт(страницу с которой был отдан запрос) и считать инфу из куков естественно все предворительно проверив а конкретно хэш пароля из куки по member_id тож их куки...

[Anna]

Буду рада конкретному примеру

[Heckfy]

имелось наверное ввиду по принципу связки форума с Coppermine Photo Gallery, можно от туда примерчик взять)

[Tuman-2]

А что IPB заносит в кукисы? В качестве хэша то что получается здесь?

converge_pass_hash = md5( md5( converge_pass_salt ) . md5( plain_text_password ) );

[motoro]

А как совместить куки? что бы мембер вошедший в форуме был уже вошедший на сайте?

[motoro]

Что не кто не чего не знает?

[Heckfy]

знает.