24 oktober 2011 22:03

Wat is hier fout aan? (php staat in uitleg)

function enc($string){
$salt = "IkHoUvAnGoEdEVrIeNdEn12345678909887665432321";
$hash = sha1(md5($salt.$string)).$md5($string).sha1(md5(md5($string)));
return $hash;
}

echo md5("$password");
echo "
";
echo enc("password");
?>

Ik zie de fout niet echt, en heb het al heel vaak bekeken.

Fatal error: Function name must be a string in C:\xampp\htdocs\Sites\login\salt.php on line 5

Weet jij het antwoord?

/2500

Afbeelding toevoegen

Video toevoegen

Je hebt een $ voor de md5() functie staan. Dat hoort niet. Trouwens, is het maken van een sha hash van een md5 hash niet een beetje over-the-top?? ;-)

tonb 24 oktober 2011 22:10

Silver in this category

Reacties

haha wat eens stomme fout en dat merkte ik niet eens haha... Het is misschien wel een beetje heftig, maar wel goede beveiliging denk ik. Pepper snap ik nog niet echt, daarom sha1 over md5

24 oktober 2011 22:12

Is echt niet nodig. sha1($salt.$string) is cryptografisch niet zwakker dan de ingewikkelde constructie die je nu hebt. Kijk ook eens naar de crypt() functie van PHP. Die is hier speciaal voor bedoelt. De SHA512 is dan natuurlijk het allersterkst! http://us.php.net/crypt

tonb

24 oktober 2011 22:15

Daar snap ik niet zo veel van:$

24 oktober 2011 22:21

Een hash functie, zoals sha1() of md5(), maakt van een input (bv. een string) een output. Echter, deze codering is 1-richtingsverkeer, je kunt dus niet gemakkelijk van de output terug naar de input. (Bij MD5() is dit overigens al wel gelukt, dus die is niet meer veilig genoeg). Daarom is een hash heel geschikt om wachtwoorden mee te verifieren. Je slaat dus niet het wachtwoord zelf op, maar de hash ervan. Als iemand een wachtwoord invoert, hash je het op dezelfde manier, en kijk je of dezelfde hash output eruit komt. Zo kun je het wachtwoord controleren zonder het zelf te kennen, zelfs als je database gehackt wordt. Dus als je sha1($password) opslaat ben je al redelijk veilig. Als elke website dit zo zou doen, is de hash van een gegeven password overal hetzelfde. Daarom voegt men een salt toe. Dat is zeg maar het extra smaakje dat je toevoegt aan het wachtwoord, zodat jouw gehashte variant totaal anders wordt dan die van een andere website. Immers, als je de input string ook maar een karakter anders maakt, komt er al een totaal andere hash uit. Maarrr... wat nog wel gebeurt, is dat twee mensen met hetzelfde wachtwoord, ook dezelfde hash krijgen in jouw database. Dat is niet netjes. Op die manier kun jij heel makkelijk zien welke twee gebruikers hetzelfde wachtwoord hebben (ookal weet je het wachtwoord zelf niet) en dat is een security risico. De oplossing hiervoor is om de username of ook het user-id (als het maar iets unieks is) onderdeel van de salt te maken. Hopelijk begrijp je het nu iets beter?

tonb

24 oktober 2011 22:50

Ja nu snap ik het :D dank je

24 oktober 2011 23:00

Een programmeertaal is net als gewone taal, letters op een rijtje zetten volgens een grammatica. Alleen de grammatica is ietsje strenger en als bij mensentaal. Maar leuk dat je het interessant vindt.

tonb

25 oktober 2011 15:08

Verberg reacties

Inloggen

Inloggen met Mijn Account

Nog geen account? Registreer je gratis!

Stel zelf een vraag

Ben je op zoek naar het antwoord op die ene vraag die je misschien al tijden achtervolgt?