KAC, tam pietiek arī ar SQL injekciju, ja izdodās pielietot UNION.

Vispirms par parolēm.
Cienījamais autors neatšķir šifrēšanu (crypting) no hešošanas (hashing).

Pielietojot atslēgu, šifrētus datus var atjaunot sākotnējā stāvoklī, bet hešotus datus atjaunot sākumstāvoklī ir praktiski neiespējami – var tikai atrast kādu heša sadursmi (collision), bet nav nekādas garantijas, ka ir atrasti sākotnējie dati.

Tātad vēlreiz atgādinu – MD5 algoritms NAV šifrēšanas algoritms! MD5 ir hešošanas algoritms!

Un arī par paroļu sāli autoram nav īstas skaidrības.

Paroļu sāls jēga NAV paroles pagarināšanā.

Paroļu sāls jēga ir aizsargāt pret tabulācijas (rainbow table) uzbrukumiem, jo uzbrucējam faktiski ir jāzina 2 parametri – paroles hešs un sāls, tikai tad uzbrucējs var piemeklēt paroli, kas summāri ar sāli dod vajadzīgo paroles hešu.

Un nu par SQL injekcijām.

mysql_real_escape_string ir tikai viena maza daļa un tikai MySQL gadījumā.

Lai vispārīgā gadījumā izvairītos no SQL injekcijām ir jāpārbauda pilnīgi VISI lietotāja iesūtītie dati un jānosaka vai tie ir derīgi (data validation & sanitization).

Ceru, ka mani skaidrojumi ir pietiekami skaidri un saprotami.