Как убрать проверку пароля через md5?

Question

[Максим Спиридонов]

Собственно использую cms McShop и там есть интеграция для различных кмс. Все эти кмс используют md5 кэширование, что логично. У меня в базе данных пароли хранятся в открытом виде без md5. Помогите переписать ф-ю чтобы не проверяло на md5.

Сама функция:

function hash_md5()
{
	global $postPass;

	$cryptPass = false;
	$cryptPass = md5($postPass);

	return $cryptPass;
}

Comments

[1001001 111]

КМС =)

[Илья Лесных]

md5 кэширование

Answer 1

[Reistlin]

может это вам нужно свои пароли начать хэшировать?

Comments

[Максим Спиридонов]

Вам какое дело до моих паролей? Если не шифрую, значит мне так необходимо. Вместо того, чтобы разводить: что? зачем? Могли бы дать дельный совет по устранению md5.

[Евгений Петров]

@iznaur это из серии выбора дерева для небоскрёба

Answer 2

[Сергей Протько]

Правильно, нафиг надо использовать md5 для хэширования паролей. Только sha512 + несколько циклов хеширования с солью.

Ваша функция не проверят ничего, оно тупо хеширует. Возвращайте то же значение что и на входе. А вообще - если у вас с этим затруднения, то не стоит вообще это трогать либо пытайтесь сделать это самостоятельно. Либо фрилансера нанимайте.

Answer 3

[Дмитрий Скогорев]

$cryptPass = $postPass;

а лучше убрать строку и сразу выдавать
return $postPass;

но лучше криптовать пароли в базе.. и не меньше чем SHA-1 с солью

Comments

[Максим Спиридонов]

function hash_rust()
{
global $postPass;

$cryptPass = false;

return $cryptPass;
}

Не получилось.

[Оптимус Пьян]

@hvarts вам вообще функция не нужна эта, делайте без неё

[Максим Спиридонов]

@marrk2 это зависимость самой cms. Без этой ф-и не хочет авторизовывать.

[Дмитрий Скогорев]

@hvarts а вы еще раз прочитайте что я написал

[Дмитрий Евграфович]

@EnterSandman у человека совсем беда, он просто не понимает, что его функция возвращает значение переменной, а не имя. А еще мне кажется, что человек просто хочет стать хакиром и подсмотреть чужие пароли, чтобы потом использовать эти знания в своих недобрых планах. Я бы ему не помогал сразу после фразы "Вам какое дело до моих паролей? Если не шифрую, значит мне так необходимо".

[Максим Спиридонов]

@Tantacula о каком хакерстве идет речь? В моем серверном моде используется отправка пароля без md5. Так как мод покупной и обфусцирован, я не могу сделать отправку пароля в md5.

[Дмитрий Евграфович]

@hvarts в таком случае приношу свои извинения. Вставьте в функцию строку return $postPass; а остальное все удалите (не cryptPass). Другое дело, что не существует причин, по которым пароль в базе данных следует хранить в открытом виде. Отправку пароля вы можете сделать в md5, просто ту переменную, где вы его берете оберните в md5($password) вместо $password, либо пропишите сразу после ее получения $password = md5($password) и вот уже у вас есть ее хэш. Сейчас вы идете не тем путем, чтобы заставить расширение работать, нужно дать ему данные в том формате, которое оно требует, а не в том, в котором они у вас в базе данных сейчас лежат. А окажется потом, что оно в 50 местах проверяет этот пароль или что вам надо еще три модуля поставить и все они в 50 местах пользуются хэшем, ибо так безопаснее, чем использовать незашифрованный пароль, вы будете деобфускацию кода делать и все их править в 50 местах их все под свои нужды? А патч выйдет с критической заплаткой - вы снова полезете 50 заплаток пришивать? И все вместо того, чтобы один раз правильную базу сделать с захэшированными паролями и поправить изначально в своем коде незашифрованный пароль?

Answer 4

[Артем Лисовский]

найдите где используется эта функция и давайте сюда - помогу. если она вызывается, то будет отдаваться из неё md5 от пароля и он уже будет где-то проверяться. Вам нужно как раз это заветное "где-то" дать на обсуждение. Иначе никак