1. Куча / Говнокод #18009

    +144

    1. 1
    2. 2
    3. 3
    ENCRYPT(str[,salt])
Шифрует аргумент str, используя вызов системной функции кодирования crypt() из Unix. Аргумент salt должен быть строкой из двух символов (в версии MySQL 3.22.16 аргумент salt может содержать более двух символов):
Если функция crypt() в данной операционной системе недоступна, функция ENCRYPT() всегда возвращает NULL. Функция ENCRYPT() игнорирует все символы в аргументе str, за исключением первых восьми, по крайней мере в некоторых операционных системах - это определяется тем, как реализован системный вызов базовой функции crypt().

    Сегодня при входе в админку сайта ошибся в последнем знаке 10 значного пароля, но успешно зашел. Повторил опыт опять успешно.
    Глянул в код там такая проверка
    AND password= ENCRYPT(concat('".mysqli_escape_string($ this->db_class->link,$pass)."',clients.salt),'SECRET_KE Y')";

    Теперь рву волосы на жопе.
    Говнокод мой.

    Запостил: Vasiliy, 16 Апреля 2015

    Комментарии (29) RSS

    • ava inkanus-gray 16.04.2015 16:53 # 0

      Note
      The ENCRYPT() function is deprecated as of MySQL 5.7.6, will be removed in a future MySQL release, and should no longer be used. Consider using AES_ENCRYPT() instead.
      Ответить

      • ava Dummy00001 16.04.2015 18:22 # +5

        другими словами, разрабам понадобилось ~20 лет что бы увидеть свет в конце тунеля.

        ЗЫ не шутка, http://en.wikipedia.org/wiki/MySQL :

        Initial release 23 May 1995; 19 years ago
        Ответить

        • ava inkanus-gray 16.04.2015 18:25 # 0

          А учитывая, что 5.1 и другие устаревшие версии на хостингах в изобилии, владельцы сайтов ещё долго будут рвать волосы на жопе.
          Ответить

          • ava bormand 16.04.2015 18:28 # 0

            > хостингах
            Да у этих ленивых и жадных распиздяев и PHP 4.0 в изобилии...
            Ответить

    • ava Dummy00001 16.04.2015 17:07 # 0

      поэтой причине первый аргумент crypt()у часто предварительно хэшируют.
      Ответить

    • ava Fike 16.04.2015 17:09 # +1

      Тоже как-то на это нарвался, но в рамках crypt() у PHP. Если вся шифрация происходит внутри PHP, то (зная наперед о такой проблеме, конечно), можно обезопаситься от паранойи просытм юнит-тестом.
      Ответить

      • ava Vasiliy 16.04.2015 17:12 # 0

        так в том то и дело не знал. Случайно заметил.
        Ответить

      • ava inkanus-gray 16.04.2015 18:33 # +1

        Да вообще сложные вычисления на стороне СУБД лучше не выполнять, чтобы не тратить её драгоценное время. Тем более, что даже в приведённом фрагменте кода есть вкрапления PHP.
        Ответить

      • ava 3_14dar 16.04.2015 18:53 # 0

        Пардон, на что?
        Ответить

        • ava bormand 16.04.2015 19:14 # +1

          На "Функция ENCRYPT() игнорирует все символы в аргументе str, за исключением первых восьми", видимо.
          Ответить

          • ava Vasiliy 16.04.2015 19:16 # +2

            на самом деле функция crypt игнорирует. а ENCRYPT её использует.
            Ответить

            • ava 3_14dar 16.04.2015 19:19 # +1

              Я хуею. И нет никаких предупреждений красным цветов в доках?
              Ответить

              • ava Vasiliy 16.04.2015 19:30 # +1

                нет. мелким шрифтом приписочка.
                Ответить

              • ava Fike 16.04.2015 23:22 # 0

                там "выберите себе свой алгоритм за счет префикса хэшируемого, однако в случае чего возьмится восьмисимвольный)
                Ответить

                • ava 3_14dar 16.04.2015 23:26 # 0

                  Не вижу http://php.net/manual/ru/function.crypt.php
                  Ответить

                  • ava Fike 16.04.2015 23:46 # 0

                    CRYPT_STD_DES - Стандартное DES-шифрование с двухсимвольной солью из алфавита "./0-9A-Za-z""./0-9A-Za-z". Использование других символов в соли повлечет за собой отказ работы crypt().

                    Смысл в том, что если ничего остального не подходит, выбирается он. То ли я тогда доллар проебал, то ли он почему-то считался за подходящий символ, но выбирался именно DES.
                    Ответить

                    • ava 3_14dar 16.04.2015 23:50 # 0

                      >crypt() возвращает хэшированную строку, полученную с помощью стандартного алгоритма UNIX, основанного на DES
                      Это видно. Нигде не написано, что DES хеширует первые 8 символов (а не 7?)
                      Ответить

                      • ava Fike 16.04.2015 23:56 # 0

                        не тот язык (и это я не про сам php) http://php.net/manual/en/function.crypt.php

                        upd хотя и на русском

                        Кроме того, она использует только первые восемь символов строки str, поэтому более длинные строки, начинающиеся с тех же восьми символов, сгенерируют один и тот же результат (при использовании одинаковой соли).
                        Ответить

                        • ava 3_14dar 17.04.2015 00:04 # 0

                          Написано в середине страницы. В общем, я не знаю, кто овощ, но должна же быть какая-то причина, по которой в пхп это используют, а в питоне - нет?
                          Ответить

                          • ava Fike 17.04.2015 00:19 # +2

                            PHP долгое время считал нормой обнять сишную библиотеку и предоставлять идентичный интерфейс всем проходящим.
                            Ответить

    • ava bormand 16.04.2015 18:26 # 0

      Я просто оставлю это здесь: http://php.net/manual/ru/function.password-hash.php
      Ответить

      • ava Fike 16.04.2015 23:22 # 0

        нельзя без https://packagist.org/packages/ircmaxell/password-compat
        Ответить

    • ava ebal3_14 16.04.2015 22:20 # −1

      cleaned
      Ответить

    • ava 3_14dar 16.04.2015 23:55 # 0

      Я даже стесняюсь спросить о pbkdf2 и ко
      Ответить

    • ava da_vi_ohueli 17.04.2015 00:00 # −3

      cleaned
      Ответить

    • ava poluebki 17.04.2015 02:06 # −4

      cleaned
      Ответить

    • ava sukablya 17.04.2015 03:27 # −4

      cleaned
      Ответить

    Добавить комментарий