Meilleure façon D'utiliser PHP pour chiffrer et déchiffrer les mots de passe? [dupliquer]

Avertissement de Sécurité : Cette classe n'est pas sécurisé. Il utilise Rijndael256-ECB , ce qui n'est pas sûr du point de vue sémantique. Juste parce que "ça marche" ne signifie pas "c'est sûr". En outre, il bande les espaces de queue par la suite en raison de ne pas utiliser le rembourrage approprié.

Trouvé cette classe récemment, il fonctionne comme un rêve!

class Encryption {
    var $skey = "yourSecretKey"; // you can change it

    public  function safe_b64encode($string) {
        $data = base64_encode($string);
        $data = str_replace(array('+','/','='),array('-','_',''),$data);
        return $data;
    }

    public function safe_b64decode($string) {
        $data = str_replace(array('-','_'),array('+','/'),$string);
        $mod4 = strlen($data) % 4;
        if ($mod4) {
            $data .= substr('====', $mod4);
        }
        return base64_decode($data);
    }

    public  function encode($value){ 
        if(!$value){return false;}
        $text = $value;
        $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
        $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
        $crypttext = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $this->skey, $text, MCRYPT_MODE_ECB, $iv);
        return trim($this->safe_b64encode($crypttext)); 
    }

    public function decode($value){
        if(!$value){return false;}
        $crypttext = $this->safe_b64decode($value); 
        $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
        $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
        $decrypttext = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $this->skey, $crypttext, MCRYPT_MODE_ECB, $iv);
        return trim($decrypttext);
    }
}

et de l'appeler:

$str = "My secret String";

$converter = new Encryption;
$encoded = $converter->encode($str );
$decoded = $converter->decode($encoded);    

echo "$encoded<p>$decoded";

avertissement de sécurité: ce code n'est pas sécurisé.

exemple pratique

define('SALT', 'whateveryouwant'); 

function encrypt($text) 
{ 
    return trim(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, SALT, $text, MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND)))); 
} 

function decrypt($text) 
{ 
    return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, SALT, base64_decode($text), MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND))); 
} 

$encryptedmessage = encrypt("your message"); 
echo decrypt($encryptedmessage); 

une chose que vous devriez être très conscient de lorsqu'il est question de cryptage:

Essayer d'être intelligent et d'inventer votre propre chose, généralement, vous laisser avec quelque chose d'insécurité.

vous seriez probablement mieux en utilisant l'une des extensions de cryptographie qui viennent avec PHP.

avertissement de sécurité : ce code est non sécurisé . En plus d'être vulnérable aux attaques de type chosen-ciphertext, sa dépendance sur unserialize() le rend vulnérable à L'Injection D'objet PHP.

pour manipuler une chaîne de caractères / tableau j'utilise ces deux fonctions:

function encryptStringArray ($stringArray, $key = "Your secret salt thingie") {
 $s = strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), serialize($stringArray), MCRYPT_MODE_CBC, md5(md5($key)))), '+/=', '-_,');
 return $s;
}

function decryptStringArray ($stringArray, $key = "Your secret salt thingie") {
 $s = unserialize(rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($key), base64_decode(strtr($stringArray, '-_,', '+/=')), MCRYPT_MODE_CBC, md5(md5($key))), ""151900920""));
 return $s;
}

c'est flexible car vous pouvez stocker/envoyer via URL une chaîne ou un tableau parce que la chaîne/le tableau est sérialisé avant le chiffrement.

cela ne vous donnera qu'une protection marginale. Si l'attaquant peut exécuter du code arbitraire dans votre application, ils peuvent obtenir les mots de passe exactement de la même manière que votre application peut. Vous pouvez toujours obtenir une certaine protection contre certaines attaques par injection SQL et des sauvegardes de db égarées si vous stockez une clé secrète dans un fichier et utilisez cela pour chiffrer sur le chemin de la db et déchiffrer sur le chemin de sortie. Mais vous devez utiliser bindparams pour éviter complètement le problème de L'injection SQL.

Si vous décidez de chiffrer, vous devez utiliser certaines de haut niveau crypto library, sera se tromper. Vous aurez à obtenir la clé-configuration, le remplissage de message et les contrôles d'intégrité corrects, ou tous vos efforts de cryptage est de peu d'utilité. GPGME est un bon choix pour un exemple. Mcrypt est trop bas niveau, et vous obtiendrez probablement tort.

découvrez mycrypt(): http://us.php.net/manual/en/book.mcrypt.php

et si vous utilisez postgres il y a pgcrypto pour le cryptage au niveau de la base de données. (facilite la recherche et le tri)

la meilleure idée pour chiffrer/déchiffrer vos données dans la base de données même si vous avez accès au code est d'utiliser 2 passes différentes un mot de passe privé ( user-pass ) pour chaque utilisateur et un code privé pour tous les utilisateurs ( system-pass ).

scénario

1. user-pass est stocké avec md5 dans la base de données et est utilisé pour valider chaque utilisateur pour se connecter au système. Cet utilisateur-pass est différent pour chaque utilisateur.
2. chaque entrée utilisateur dans la base de données a en md5 un system-pass pour le cryptage/déchiffrement des données. Ce passe-système est le même pour chaque utilisateur.
3. chaque fois qu'un utilisateur est retiré du système toutes les données qui sont cryptées sous l'ancien system-pass doivent être cryptées à nouveau sous un nouveau system-pass pour éviter les problèmes de sécurité.