Как сделать выборку символов с проверкой позиций?

Question

[Wet_Dumplings]

Здравствуйте!

Есть бд с табличкой users и полями <логин>, <пароль>. Предположим, возьму запись [('admin', '123456')]
как сделать так, чтобы при вводе логина `admin` вылез "ввод пароля" вида: (предположим) введите позицию 1 = [вставитьЦифру(1)], введите позицию 6 = [[вставитьЦифру(6)] и так, чтобы при логине каждый раз было разное число позиций, который нужно ввести (тобишь пароль пользователь вводит не целиком а только определенные позиции)

А то не смог найти ни как выдернуть определенное поле с нужным паролем ( кроме как вывести его -

"SELECT password FROM users WHERE login=?",(currentLogin,))

) ни как реализовать описанный выше метод верификации пользователя (т.к. помимо ввода случайных позиций нужно еще, очевидно, их проверить - но не смог опятьже отыскать как сделать текстовый массив из поля SQL таблички)

Comments

[Алексей Черемисин]

Хуже того, чтобы хранить пароли в открытом виде может быть только не хранить их вообще!

Answer 1

[Сергей Тихонов]

Двадцать первый век, у миллиардных корпораций каждый месяц утекает по 200 млн учетных записей прям из БД, а у нас пароли в базе открытым текстом.
Единственное место, где так пароль проверяется, я встречал только в SecureBoot, и это дико неудобно.
Но если интересует реализация, могу предложить следующее:

1. Сохранить в БД хешированные с солью значения вида Pxxx, xAxx, xxSx и т.д.
   
2. добить хеши до максимальной длины пароля, чтобы не палить его длину
   
3. использовать вместо xxx разную строку для каждой позиции символа исходного пароля
   
4. при вводе очередного символа проверять наличие у пользователя нужного хеша
   
5. не считать, что этот способ хранения пароля является безопасным
   
   

Comments

[Wet_Dumplings]

И опять горе от ума) Тут дело не в безопаности/необходимости/смысле тут дело в факте создания описанного в вопросе недомеханизма - главное чтобы работало и все, качество/безопасность не требуются)

з.ы. спасибо что с утра по раньше нокаут от слов: `с солью вида...`, `хешированные`, `хеши` словил :)

[Сергей Тихонов]

Ага, поумничать с утра бесценно.
А вопрос в SQL или в Python?
Потому что если в SQL, то есть функция substring, по которой можно вытянуть нужный символ. Про python уже подсказывали.

[Wet_Dumplings]

Сергей Тихонов,

Потому что если в SQL, то есть функция substring, по которой можно вытянуть нужный символ.

да, былобы неплохо узнать как. А то пока никуда не продвинулся - не хочет присваивать (тот же пример с паролем 123456)

c = 'admin'
password =cursor.execute("SELECT * FROM users WHERE login=?", (c,))
print(password)

на выходе дает sqlite3.Cursor object at 0х*кучаСимволов*

[Сергей Тихонов]

cursor.execute(query, params)
print(cursor.fetchall())