Citat:
Originally posted by Jonas@Jul 7 2009, 21:19
Och som flera nämnt här på forumet där några här på forumet sagt att MD5 + Salt är tillräckligt för en webbtjänst. Nu har det bevisats att det inte räcker.
Pinsamt av Voddler (eller ja, egentligen av Zend) att inte ha starkare grejer på lösenorden...
http://paste2.org/p/299478
Kod:
* *
* *public function encryptPassword($plain){
* * $password = '';
*mt_srand((double)microtime()*1000000);
*
* * for ($i=0; $i<10; $i++) {
* * * *$password .= mt_rand();
* * }
* * $salt = substr(md5($password), 0, 2);
* * $password = md5($salt . $plain) . ':' . $salt;
* * return $password;
* *}
|
Du verkar inte förstå vad som gått snett
Det har inte med med hashningen eller saltet att göra.
1. Nån utvecklare har glömt en fil som innehåller PHP-kod, men eftersom den inte haft en .PHP ändelse parsar servern den som en textfil, och innehållet visas på skärmen.
2. Databaslösenordet är samma som SSH-root lösenordet, så det är bara för scriptkidden att logga in, voila!
Så tolkar jag det alla fall.