[SOLUCIONADO] Encriptar y desencriptar contraseña

Hola gente

Me encuentro, como algunos ya saben, empezando a trabajar sobre PHP, bases de datos, MySQLi, sesiones, etc. (Soy frontender, disculpen si a veces soy molesto :P )

Me surgió la duda de cómo puedo mandar la contraseña del registro encriptada hacia la base de datos y cómo desencriptarla para después hacer el login.

¿Qué método es el más seguro para encriptar/desencriptar sin SSL?

Imagino que, aunque mi proyecto es de a escala local, algún curioso podría tratar de agarrar la contraseña 'al vuelo' por medio de Wireshark o métodos parecidos.

Me supongo que para desencriptar debe ser algo como "si la $password es igual a '$password+encriptación', entonces crea la sesión/se efectúa el login".

¿Alguna ayuda y/o consejo al respecto?

jrasias d antebraso

En primer lugar encripta la password. Puedes usar el método de encriptacion que consideres: md5, sha1, crypt, etc... o incluso combinar varios como te pongo en el siguiente ejemplo:


En el registro de usuario guardas $password_encriptada en la base de datos, la cual tendrá un valor tal que: 3f$%6ds%SDF4DSdk(=f3 (por ejemplo)

En el login, haces lo mismo... encriptas la password introducida y comparas la cadena encriptada con la que hay en base de datos. Si ambas cadenas coinciden, es que la password es correcta.

Muchas gracias por el dato.
Mi duda es, ¿no se crea ningún 'hash' único ni nada parecido?
O sea, si encripto, por ejemplo, "mipassword" con MD5, y el resultado es "3f$%6ds%SDF4DSdk(=f3", quiero creer que al desencriptar "3f$%6ds%SDF4DSdk(=f3" el resultado no va a ser "F5F4FWE65WE4FEW654EW6" o algo así.

Pregunto porque me ha pasado un par de veces con AES.

Que yo sepa md5 es un algoritmo de encriptación de una sola vía..... que no se puede desencriptar.

Gracias por la respuesta, olvidé marcar el tema como solucionado.

De todas formas, desde PHP recomiendan NO usar MD5 ni SHA-1...
Por eso terminé usando crypt().

Saludos.

Como te gusta complicarte la vida, si tu proyecto es local implementa ssl en tu servidor de http

¡No, no, no!
Con local me refiero a que la escala del proyecto es local; que no va mucho más allá de mi barrio, digamos.

Jajajaja.

De todas formas es mejor que utilices ssl

Cuando pueda pagar un certificado lo haré.
Mientras tanto, contraseñas bien encriptadas (no MD5, no SHA-1) y va bien.

vaya creo que te hace falta investigar un poco mas al respecto con esto:

Tanto MD5 como SHA son funciones que implementan algoritmos de hasheo, no de encriptado.

Encriptar es ofuscar y tiene vuelta atras
Hashear NO tiene vuelta atras, ya que existe perdida de información en el proceso

Si tienes en una variable todo un libro y lo Hasheas, el largo del hash resultante sera igual que si hasheas "hola mundo" siendo evidente que no puedes volver atras eso...

Espero haber sido claro. Saludos

Mi proveedor de hosting + dominio vende certificados SSL, por eso lo dicho.

y? eso no significa que no puedas utilizar ssl en tu sitio.

¿Me enviarías más datos por MP? ¿O este tema [ya solucionado] está bien para eso?

Muchas gracias :)

Si estas en un servicio compartido lo puedes hacer desde el panel de control. Revisa este articulo es para cpanel pero de seguro encuentras para plesk
https://kb.uk2.net/web-hosting/how-t...lf-signed-ssl/

Gracias por el dato. Lo he leído por encima. Más tarde lo pruebo.