Как сменить хэш PHP с MD5 на SHA256?

Question

[coder_43]

Как сменить ХЭШ с MD5 на SHA256 авторизации?

auth.php:

if(empty($_COOKIE["pass"]) || $_COOKIE["pass"]==""){
	header("Location: login.php");
}
else{
	$per = explode(":", $_COOKIE["pass"]);
	$pass_md5 = $per[0];
	$login = $per[1];
$search = mysql_query("SELECT * From ".$account['table']." WHERE ".$account['name']."='$login'");
$user = mysql_fetch_array($search);
	if($pass_md5 != md5(md5($user["".$account['pass'].""]))){
		setcookie("pass", "", 0, "/");
		header("Location: login.php");
	}
}
//?>

authorization.php:

if(isset($_POST['login']))
{	
	$name = $_POST['nick'];
	$password = $_POST['password'];
	$search = mysql_query("SELECT * FROM `".$account['table']."` WHERE `".$account['name']."`='$name'");
	if(mysql_num_rows($search)!=0)
	{
		$user = mysql_fetch_array($search);
		if($user["".$account['pass'].""]==$password)
		{
			setcookie("pass", md5(md5($password)).":".$name, time() + 60*100, "/");
			header("Location: ./");
		}
		else
		{
			//$info_pass="<div class=\"alert alert-danger\">
  //<strong>Ошибка!</strong> Пароль не правильный.
//</div>";
            $info_pass="<div class=\"alert alert-danger\">
  <strong>Ошибка!</strong> Пароль не правильный.
</div>";
		}

	}
	else
	{
		$info_user = "<div class=\"alert alert-danger\">
  <strong>Ошибка!</strong> Игрок не найден.
</div>";
	}
}
if($_GET["access"]=="exit"){
	setcookie("pass", "", "0", "/");
	header("Location: ./login.php");
}	
?>

Comments

[tukreb]

Обратиться за помощью на фриланс.
Это ресурс где помогают в решение проблемы, а не делают всё работу за вас. Предложите вариант вашего решения, а мы поможет если что-то не работает.

П.С А вообще за такой код вас должны расстрелять и четвертовать, чтобы больше не писали такое гавно.

[Сергей delphinpro]

1. Если уж менять, то на нормальный password_hash
2. Вам просто поменять, или уже есть база пользователей?

[coder_43]

Сергей delphinpro, есть уже база пользователей просто считывало чтобы

[coder_43]

tukreb, это лично ваше мнение, если вам кайф сидеть и писать всякую чушь сходите на форум мамочек. Вам там будет удобнее, ибо там все такие же как вы

[Дмитрий]

coder_43, ну если есть база пользователей - то как вы собираетесь пароли которые в md5, перегонять в sha? Как вы вообще это себе представляете

[coder_43]

Дмитрий, неет, у пользователей стоит SHA256

[Дмитрий]

coder_43, ну возьмите значение пароля который вам известен https://emn178.github.io/online-tools/sha256.html сгенерируйте значение от пароля - и сравните. может в базе sha256 с солью?

[coder_43]

Дмитрий, да с солью

[Дмитрий]

coder_43, ну а соль у вас где? Ну попробуйте сгенерировать значение от пароля и соли и посмотреть совпадает ли он со значением в базе.

[coder_43]

Дмитрий,

[Дмитрий]

coder_43, и? вы сравнили? оно совпадает? Или вы предлагаете мне по картинке угадать пароль, и сравнить?

[coder_43]

Дмитрий, Пароль 123123 в сравнении не вышло

[Дмитрий]

coder_43, ну если сравнение не катит - то либо соль неправильная, либо пароль не правильный, либо алгоритм не sha256.

[coder_43]

Дмитрий, понял спасибо огромное:3

[Сергей delphinpro]

coder_43, в таком случае
1. нужно сделать так, чтобы новые регистрации проходили с новым алгоритмом хеширования.
2. Пользователям нужно дать флаг старый/новый алгоритм
3. При логине проверять. Если используется старый алгоритм и пароль верный, то обновить хэш на новый и снять флаг.
Постепенно пользователи сами обновят пароли.

Или пойти жестким путём – обновить код аутентификации и регистрации на новый алгоритм, и всем пользователям предложить сбросить пароли, иначе говоря, пройти процедуру восстановления пароля.

Answer 1

[Nik Faraday]

Попробуйте так:

auth.php:

$pass_sha256 = hash('sha256', $user["".$account['pass'].""]); // Хеширование пароля с помощью SHA256
if(!hash_equals($pass_sha256, hash('sha256', $password))) {
    setcookie("pass", "", 0, "/");
    header("Location: login.php");
}

authorization.php:

if($user["".$account['pass'].""]==$password) {
    $pass_sha256 = hash('sha256', $password); // Хеширование пароля с помощью SHA256
    setcookie("pass", $pass_sha256 . ":" . $name, time() + 60*100, "/");
    header("Location: ./");
}

Comments

[tukreb]

"Хороший" ChatGPT ответ.

[coder_43]

Не вышло:(

[Nik Faraday]

tukreb, не отрицаю. Первое, что нужно сделать - это загуглить. В прошлого года появился ещё один вариант - спросить в ChatGPT. Если человек этого не сделал, ничего не запрещает это сделать мне и предоставить ответ

[Nik Faraday]

coder_43, что именно у вас не вышло? Где возникла проблема?

[Дмитрий]

Nik Faraday, вообщем то такое ровно не приветствуется. Если уж вы даете ответ в правильности которого у вас уверенности никакой - проверьте его сами. А учитывая что чатгпт косячит через раз - загаживать интернет - идея дерьмовая

[coder_43]

Nik Faraday, пишу пасс пишет неверный

[coder_43]

Nik Faraday,

[Nik Faraday]

coder_43, забыл за верификацию пароля:

if(hash_equals($stored_password, hash('sha256', $entered_password)))

[coder_43]

Nik Faraday, также

[Nik Faraday]

coder_43, стойте, вы пытаетесь залогиниться используя старый пароль из БД?

[coder_43]

Nik Faraday, совершенно верно но пароль генерит, сама игра а сайт должен читать пароль на вход в ЛК SHA256 с солью

[Nik Faraday]

coder_43, стоп стоп стоп. Это два различных алгоритма, которые выдают разный хэш. Вы не сможете войти в систему, если у вас в БД записан пароль, который хэширован как md5, а вы пытаетесь сделать логин по алгоритму sha256

[coder_43]

Nik Faraday, нет в БД уже идёт всё на SHA256. MD5 только в этих файлах больше не где нету

[Nik Faraday]

coder_43, попробуйте перерегистрировать юзера. Так же, для начала, используйте пароль без соли. Так должно работать. В указанном примере кода нет регистрации юзера и внесения его в БД вместе с солью. Так же нет фрагментов кода, которые вы используете для верификации пароля после внесённых изменений

[coder_43]

Nik Faraday, да ибо регистрация юзера происходит на этапе в игре через Pawn, соответственно, регистрировать юзера мне не нужно. Мне нужно его авторизовать

[Nik Faraday]

coder_43, вам нужно его перерегистрировать, что бы обновился хэш. Без соли