afkryptering af md5

md5 er oneway dvs. du kan ikke få dine password igen..

md5 er vist heller ikke en krypterings metode, er det ikke mere en hash generator?

hmm.... tjoh.... det er folk lidt uenige om.... kender du nogele andre funktioner der både kan krypteres og afkrypteres??

pham, md5 er kryptering, det er blot en underafdeling af kryptering, nemlig hashing, der er envejs :) Det er stadig kryptering, blot uden mulighed for afkryptering ;)

lazlowdk, du kan sende dem et link til en side hvor de kan ændre deres password ;) Det kræver dog lidt sikkerhed ;)

lazlowdk, hvis du vil kryptere/afkryptere så kig på mcrypt: http://dk2.php.net/mcrypt

coderdk, og mange tak. :)

Strategien for skift password kan være:

  $username = 'lazlowdk';
  $time = time();
  $secret = 'hemmeligt';
  $checksum = md5( md5( $username . $time ) . $secret );
  $url = "http://dit.site.dk/glemt.php?bruger=$username:$time:$checksum";

$url er så det link du sender til brugeren.

I glemt.php laver du så:

  $param = explode( ":", $_GET['bruger'] );
  if ( count( $param ) != 3 )
  {
    die( "Du kan ikke ændre password." );
  }
  list( $user, $time, $checksum ) = $param;
  if ( $time < ( time() - (30 * 60) ) )
  {
    die( "Du kan kun bruge linket i en 30 minutter!" );
  }
  $secret = 'hemmeligt';
  if ( md5( md5( $user . $time ) . $secret ) != $checksum )
  {
    die( "Du kan ikke ændre password." );
  }
  // Nu må brugeren godt ændre password

Der mangler lidt, men sådan er det generelle princip ;)

Når jeg skriver mangler lidt, så er det ikke så meget, glemt.php er bare ikke nok at checke på, du skal også checke på den side glemt.php poster det nye password til ;)

Faktisk bør checket ikke være i glemt.php men i den side den poster til ;)

glemt.php kan bare være noget i denne stil:

<form method="post" action="glemt.opdater.php">
  <input type="hidden" name="bruger" value="<?= $_GET['bruger'] ?>">
  Nyt password: <input type="password" name="pass1" value=""><br>
  Gentag: <input type="password" name="pass2" value=""><br>
  <input type="submit" value="ændr password">
</form>

er det meningen at den IKKE skal kryptere tiden og username??

doh... sorø... jeg læste som en røv der...

Yep, for de bliver holdt sammen med checksummen, hvis den ikke passer til brugernavn/tid så får man ikke lov ;)

Du kan jo eventuelt også sige noget ala:

if((md5($password) == md5($krypteret_password)) {
[...]

neocron, hans problem er at brugerne glemmer passwordet ;)

Hov, jeg fik vist ikke lige ordentligt fat i spørgsmålet - beklager fejlen :)

Ellers kan du jo lave et script hvor man skriver brugernavnet og emailen, databasen tjekker om de to infomationer er lig hinanden. hvis de er det ændre du passwordet til et tilfældigt, og derefter sender du en mail med det nye password. Så skal brugeren bare skifte password, når han/hun logger på igen. Ganske sikker måde.

Jeg vil også råde dig til at bruge envejskryptering, da det er mest sikkert. :D