Kom ihåg mig?

Bloggtopppen.se och SQL injection - Fin fil med alla users

 
Ämnesverktyg Visningsalternativ
Oläst 2011-10-26, 18:30 #1
SimonPs avatar
SimonP SimonP är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2006
Inlägg: 832
SimonP SimonP är inte uppkopplad
Mycket flitig postare
SimonPs avatar
 
Reg.datum: May 2006
Inlägg: 832
Citat:
Ursprungligen postat av Jim_Westergren Visa inlägg
Här är den kod jag skrev för att göra detta. Hoppas den kan hjälpa andra.

<?php
echo "Startar konvertering ...<br><br>";

$sql_host = 'subdomän.domän.se';
$sql_database = 'name_of_db';
$sql_username = 'username';
$sql_password = 'password';
$sql_table_name = 'name_of_table';

// Ta en fras härifrån: https://api.wordpress.org/secret-key/1.1/salt/
$salt = "din fras kommer här";

$mysql_connect = mysql_connect($sql_host, $sql_username, $sql_password);
mysql_select_db($sql_database, $mysql_connect);

// Namn på kolumner nedan kan behöva korrigeras:
$result = mysql_query("SELECT username, password FROM ".$sql_table_name."");
while($row = mysql_fetch_array($result)) {
$new_hash = md5($salt.$row['password']);
mysql_query("UPDATE ".$sql_table_name." SET password = '".$new_hash."' WHERE username = '".$row['username']."'");
}
echo "Konverting klar";
?>

<pre>
Ändra nu följande:
-----------------------

Ändra din inloggning från:

if(md5($_POST['password']) == $password) {
// Inloggad
}

Eller liknande som du har till följande istället:

$salt = "din fras kommer här";
if(md5($salt.md5($_POST['password'])) == $password) {
// Inloggad
}

Radera sedan denna filen från servern!
</pre>
1. MD5 är dock inte en framtidsäker lösning, om man kostar på sig att skriva en ny inloggningsrutin tycker jag man bör byta till SHA256 eller en riktig KDF.

2. Saltet bör läggas efter lösenordet för att försvåra bruteforce
SimonP är inte uppkopplad   Svara med citatSvara med citat
Oläst 2011-11-12, 19:47 #2
BjörnJ BjörnJ är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2009
Inlägg: 971
BjörnJ BjörnJ är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2009
Inlägg: 971
Citat:
Ursprungligen postat av SimonP Visa inlägg
Saltet bör läggas efter lösenordet för att försvåra bruteforce
Kan du utveckla det där?
BjörnJ är inte uppkopplad   Svara med citatSvara med citat
Oläst 2011-11-12, 22:45 #3
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
Citat:
Ursprungligen postat av BjörnJ Visa inlägg
Kan du utveckla det där?
Han har tidigare redogjort för detta i den här tråden:

http://www.wn.se/t30777.html
__________________
Full-stack developer, free for smaller assignments
tartareandesire är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 
Ämnesverktyg
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 02:26.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017