[PHP] Zufälliger Datensatz

Allo

Lt. Commander

Registriert

Feb. 2004

Beiträge

1.064

• 21. Oktober 2004

• #1

Guten morgen,

möchte zwecks Hackerschutz die Passwörter mit einem zufällig generiertem Datensatz versehen, wenn der User dann auf den Link mit dem Dazensatz (z.B. h**p://www.seite.de/pw.php?zufallsdatensatz=e8647849e4f84adbf4bfe66490aa42e7 ) klickt wird dann sein Passwort umgeschrieben.

gibt es dafür einen befehl um so einen zufälligen datensatz, wie bei PHPSESSID zu generieren?

MfG,
Allo

 

The Prophet

Rear Admiral

Registriert

Aug. 2001

Beiträge

5.981

• 21. Oktober 2004

• #2

Hallo,

um was für Datensätze handelt es sich denn? Websitelogin? Du könntest z.b.: in der Session das aktuelle Datum oder die IP des Aufrufers codieren.

mfg

 

Monsieur

Cadet 3rd Year

Registriert

Nov. 2003

Beiträge

37

• 21. Oktober 2004

• #3

du könntest base64_en-/-decode verwenden.

http://de3.php.net/manual/de/function.base64-encode.php

 

Allo

Lt. Commander

Ersteller dieses Themas

Registriert

Feb. 2004

Beiträge

1.064

• 21. Oktober 2004

• #4

Hallo @ The Prophet,


daran hatte ich auch gedacht.
das dumme ist nur, dass der Ersteller die sessionid sieht, und wenn ich genau aus diesem, oder aus seiner ip, einen pseudozufälligen Schlüssel generiere, dann kann dieser die Syntax nachbilden, in dem der Schlüssel generiert wurde, und so eine art 'CD-Key' für die Schlüssel programmieren.

@ Monsieur:
dann könnte er ja einfach

PHP:

$schluessel_in_klartext = base64_encode($schluessel);

verwenden und dann hätte er ja den schlüssel wieder erraten

ich hätte gerne so etwas wie:

PHP:

$schluessel=e8647849e4f84adbf4bfe66490aa42e7;

dastehen, denn mit soetwas könnte ich etwas anfangen

 

Zuletzt bearbeitet: 21. Oktober 2004

The Prophet

Rear Admiral

Registriert

Aug. 2001

Beiträge

5.981

• 21. Oktober 2004

• #5

Hallo,

wie sollte er den Schlüssel nachbilden wenn er nicht weiß wie der Schlüssel erstellt wurde? Vielleicht verstehe ich auch gerade nur das Problem nicht.

 

Allo

Lt. Commander

Ersteller dieses Themas

Registriert

Feb. 2004

Beiträge

1.064

• 21. Oktober 2004

• #6

ein beispiel:
wenn du als schlüssel einmal mit deiner session-id(wert=2) den wert 10, und einmal den wert 15 (mit deiner sessionid=3) bekommen hättest, dann könntest du alle anderen schlüssel auch ausrechnen.
d.h. wenn du jetzt den sessionidwert von 10 hättest dann könntest du ausrechnen welcher schlüssel als nächstes für dich generiert wird ( da sessionid*3=15 ). das beispiel ist SEHHR einfach gehalten, aber so ein vorgehen muss ich ausschließen können.

Ich wollte eingentlich nur einen befehl der mir eine zufällige Abfolge von Ziffern und Buchstaben liefert.

 

Crunchtime

Lt. Commander

Registriert

Juli 2001

Beiträge

1.853

• 22. Oktober 2004

• #7

wie wäre es mit md5(time()) ?

 

[UPS]Erazor

Lieutenant

Registriert

Sep. 2002

Beiträge

753

• 22. Oktober 2004

• #8

oder

PHP:

$zufall = md5(rand());

 

The Prophet

Rear Admiral

Registriert

Aug. 2001

Beiträge

5.981

• 22. Oktober 2004

• #9

Oder crypt (Md5)

http://de.php.net/manual/de/function.crypt.php

 

Loopo

Admiral

Registriert

Juli 2002

Beiträge

7.617

• 22. Oktober 2004

• #10

PHP:

<?php
function generate_password ( $len ) {
	for ($i=0; $i<$len; $i++) {
		$random = rand ( 0, 35 );
		if ( $random > 9 )
			$password .= chr ( $random - 10 + ord ( 'A' ) );
		else
			$password .= $random;
	}
	return $password;
}
?>