Suchergebnisse

Wichtig, das Hashen muss auf Serverseite stattfinden! Ansonsten kann man Dir den Hash bereits auf dem Weg vom Client zum Server abgreifen und sich direkt damit einloggen, sodass man gar kein ursprüngliches Passwort mehr braucht. Um natürlich nicht im Klartext zu übertragen, solltest Du dann am Besten doppelt hashen. Aber auch das bietet keine 100%ige Sicherheit. Die beste Lösung wäre somit ein eigentlich unabdingliches SSL-Zertifikat, um die Verbindung ganz zu verschlüsseln. Und wie gesagt, MD5 …

Zitat von 3daycliff: „Ob ich per MITM den Hash oder das Kennwort abgreife ist egal“ Wenn Du den Hash abgreifst und dieser auch so in der Datenbank steht, kann ich mich damit einloggen, ohne das Passwort zu haben. Ich kann den Hash also direkt verwenden. Was ich meinte, war, dass der Hash selbst für die Datenbank dann auf dem Server samt Salt etc. generiert und dann abgespeichert wird. Zitat von 3daycliff: „Es kann sogar Vorteilhaft sein, die Berechnung des Hash auf den Client vorzunehmen, weil d…

Zitat von samson: „Gepostet wird "im Klartext"“ Wie erwähnt, doppelt hashen + SSL-Zertifikat und dann passt das. Zitat von samson: „Damit kommt nur noch "mist" bei raus und eine Injektion ist weniger möglich.“ Jeder Benutzerinput muss escaped werden, egal, was es ist. Zitat von samson: „mysqli_real_escape_string“ Oder entsprechend gleich Prepared Statements verwenden, was wohl sowieso die bessere Variante ist. Grüße

Selbst, wenn Du es abfragst, ist es immer eine Pflicht den Input zu escapen, egal, was es ist. Grüße

Jo, ich würd's so trotzdem immer machen, einfach zur Sicherheit. Zwar ist es in der Tat öfters mal der Fall, dass eine Injection so nicht einfach möglich ist, da man durch gewisse Konvertierungen, Bedingungen, whatever.. das Ganze schon insofern validiert hat, dass der String nicht manipuliert wurde, aber dennoch ist man so einfach in jedem Fall auf der sicheren Seite. Und wie gesagt, schadet ja nicht und ist mit Prepared Statements entsprechend auch gleich nebenzu gemacht und kein großer Aufwan…