|
You last visited: Today at 19:36
Advertisement
Frage zu Password_Hash (COST) + kleines Problem(Hilfe)
Discussion on Frage zu Password_Hash (COST) + kleines Problem(Hilfe) within the Web Development forum part of the Coders Den category.
11/03/2015, 22:38
|
#1
|
elite*gold: 20 
Join Date: Dec 2014
Posts: 169
Received Thanks: 59
|
Frage zu Password_Hash (COST) + kleines Problem(Hilfe)
Guten Tag,
ich bin auf einem Therad gestoßen über Password_hash. Da sah ich das einer COST benutze ungefähr so. Beispiel:
$pw = "mypassword";
$pepper = "mypepper";
define('COST',13);
$hash = password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST));
Jetzt ist meine Frage, was macht dieses COST?
2. Problem
Habe ein kurzes Script geschrieben um ein Datensatz einzufügen (halt nur zum Testzweck). Alles soweit in Ordnung jedoch, wenn ich dieses Zeichen einfüge µ steht da Datensatz erfolgreich abgesendet obwohl ich die kürze des Password begrenzt habe auf 6 Zeichen. Falls ich irgendein Text eingebe das kürzer als 6 Zeichen ist, steht da Password darf nicht kürzer als 6 Zeichen stehen ( so soll es auch sein).
PHP Code:
<?php
if(isset($_POST['senden']) && strtoupper($_SERVER['REQUEST_METHOD'] == "POST")) {
if(empty(trim($_POST['email'] && $_POST['password']))) { echo "Bitte alle Felder ausfüllen"; }
elseif(strlen($_POST['email']) < 4) { echo " Die Email darf nicht kürzer als 4 Zeichen sein"; }
elseif(strlen($_POST['email']) > 50) { echo " Die Email darf nicht länger als 50 Zeichen lang sein"; }
elseif(!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) { echo "Bitte richtige Email angeben"; }
elseif(strlen($_POST['password']) < 6) { echo "Das Password darf nicht kürzer als 6 Zeichen sein"; }
elseif(strlen($_POST['password']) > 30) { echo "Das Passwort darf nicht kürzer als 30 Zeichen sein"; }
else { $email = htmlspecialchars($_POST['email']) and $password = $_POST['password']; }
$pepper = 'MyPepper45';
define('COST',13);
$insert = $verbindung->prepare("INSERT INTO user_daten (email,password) VALUES (?, ?)");
$insert->BindValue(1, $email);
$insert->BindValue(2, password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST)));
if($insert->execute())
echo "Der Datensatz wurde erfolgreich gesendet"; else print_r($insert->errorinfo());
}
?>
mfg
PS: Falls ihr Verbesserungsvorschläge findet, bitte dies schreiben. Bin dankbar über jede Hilfe!
|
|
|
|
11/03/2015, 23:04
|
#2
|
Moderator
elite*gold: 558
Join Date: Feb 2010
Posts: 6,544
Received Thanks: 1,424
|
Ich kann beide Fragen nicht perfekt beantworten, aber ich glaube auf beide Fragen eine richtige Antwort zu haben.
Das "cost" legt grob gesagt fest, wie oft das Passwort gehasht werden soll. Wenn du also den maximal Wert (31) verwendest, dann wird es länger dauern als beim minimal Wert (4). Wie deutlich sich das bei einem Passwort zeigt müsstest du testen, wenn jemand versucht das Passwort zu knacken wird er es aber definitiv zu spüren bekommen.
Und ich glaube dein Pfeffer ist unnötig, die password_hash Funktion sollte das Passwort schon gut salzen.
Das ist jetzt geraten, könntest du aber leicht testen wenn die die länger auf mindestens 7 setzt. Ich vermute, dass PHP bei dem µ-Zeichen die "lange Darstellung" (Mir will das richtige Wort nicht einfallen, vielleicht "Unicode Escape Sequence" ?) des Zeichens zählt, das wären nämlich genau 6 Zeichen "\u00B5". Eventuell ist es auch ein anderer wirrer Zeichensalat, der durch eine falsche Kodierung entstanden ist. Die Lösung kann ich jetzt leider nicht liefern.
|
|
|
|
|
11/03/2015, 23:31
|
#3
|
elite*gold: 20
Join Date: Dec 2014
Posts: 169
Received Thanks: 59
|
Diese Beschreibung oder Hilfe du die geschrieben hast reicht vollkommen aus und ich habe es auch jetzt verstanden und danke dir. Eine Frage hätte ich da noch. Ich habe ja jetzt COST definiert das er 13 mal gehasht werden soll. Wird es automatisch gemacht mit meinem Code ?:
define('COST',13);
$hash = password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST));
|
|
|
|
|
11/04/2015, 09:30
|
#4
|
dotCom
elite*gold: 12400
Join Date: Mar 2009
Posts: 15,875
Received Thanks: 4,381
|
Quote:
Originally Posted by Bently.
Diese Beschreibung oder Hilfe du die geschrieben hast reicht vollkommen aus und ich habe es auch jetzt verstanden und danke dir. Eine Frage hätte ich da noch. Ich habe ja jetzt COST definiert das er 13 mal gehasht werden soll. Wird es automatisch gemacht mit meinem Code ?:
define('COST',13);
$hash = password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST));
|
Ja wird er.
Hier nochmal ein bsp. von der php.net Seite.
Code:
/**
* Note that the salt here is randomly generated.
* Never use a static salt or one that is not randomly generated.
*
* For the VAST majority of use-cases, let password_hash generate the salt randomly for you
*/
$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";
Quelle: 
"rasmuslerdorf" => Passwort
"PASSWORD_BCRYPT" => Die Art wie verschlüsselt wird (CRYPT_BLOWFISH-Algorithmus)
"$options" => Die obigen variablen cost & salt
|
|
|
|
 |
Similar Threads
|
Kleines Problem und ne Frage :^)
08/02/2015 - Fiesta Online - 11 Replies
Hallo Leuts :^)
hab ne Frage und ein Problem.
Also erst zu dem Problem:
Neuerdings spinnt mein Server ich selbst kann auf den Server wenn aber n paar Kollegen joinen wollen bekommen sie beim laden am Anfang nen "ProduceView.shn InitError!!" und nen "Game Data Initialize Fail!" Error
hab kp wie ich diesen Fehler fixxen könnten und früher konnten sie ohne Probleme aufn Server.
Und jetzt zu der Frage:
Wie kann man solche Vaults adden ich weiß des des iwas mit TreasureReward.txt zu tun...
|
[Frage] Kleines P Server Problem ^^
09/26/2012 - Perfect World - 13 Replies
hi,
Wollte mir Server erstellen von PW Blos habe ich kleines Problem
wollte das hir dazu benutzen
http://forum.r-a-g-e-z-o-n-e.com/f751/tutorial-do wnload-pw-server-1-a-856783/
naja habe auch Ubuntu auf Server blos komme mit dem Tut net klar der dabei ist könnte mir da jemand helfen ?^^
das steht Drine im tut:
|
Frage - Hab ein kleines Problem
06/22/2011 - Wolfteam - 2 Replies
Bei mir funktioniert Wolfteam und World of Warcraft
nicht mehr. Nach dem Login bei Wolfteam kommt DirectX 8.1 ist nicht
Installed und bei wow 9.0c DirectX nicht. Habe schon verdammt viele
DirectX heruntergeladen... 8.1, 9.0c aber kann die Games net starten :(
|
[FRAGE]Kleines Problem bei den Mobs
01/21/2011 - Metin2 Private Server - 0 Replies
Hallo Leute
ich bin ja öfters mal am basteln und hab glaub da bissl was vercrashed^^
ausverzehn
ich wollte mal fragen ob einer mal seine
monster.epk/eix
monster2.epk/eix
Npc.epk/eix
Npc2.epk/eix
|
[Kleines] Problem - [Frage]
07/07/2010 - WarRock - 4 Replies
Wo kann ich das "Aktivieren" ich selber finde es nicht..
http://img38.imageshack.us/img38/9678/errrrrrp.pn g
Betriebsystem: Windows 7
€: Kann geclosed werden
|
All times are GMT +2. The time now is 19:36.
|
|
