Logueo + cadena aleatoria

Muy buenas,

Estoy intentando hacer un logueo con PHP y MySQL y añadirle una cadena aleatoria a la contraseña de unos 15 ó 20 caracteres.

Lo básico: formulario, conexión a la BD, envio, función para crear la cadena aleatoria, etc me funciona.

Lo que no sé hacer es: Pasar esa cadena aleatoria al servidor para que cuando haga el POST en el formulario se compare [la contraseña introducida en el formulario + cadena aleatoria] con [la contraseña que tengo en la BD + esa misma cadena aleatoria].

Comentar también que la estoy codificando con md5.

¿Como podría hacerlo?
Edit: Lo que he encontrado a sido mediante TOKEN, siendo este siempre el mismo, personalmente prefiero una cadena aleatoria cada vez que el usuario intenta loguearse.
Muchas gracias

Holas, valver_ag, y bienvenid@.

Si mal no entiendo tu planteamiento, lo que haces es que cuando una persona quiere iniciar sesión, al momento de enviar sus datos para verificar si el usuario existe y es correcto, también quieres que compare contra una cadena que originalmente no existe? A primeras, pensé en por qué no la registras en la bd simplemente, pero luego caí en que tú la necesitas al momento de loggearse, no al momento de revalidar la sesión... es así, cierto?

Disculpa no poder ayudarte más, pero como no entiendo la finalidad de comparar contra algo que no existe originalmente, pues me pierdo :P

Saludos!

Gracias por contestar y por la bienvenida.

Un amigo me lo explicó así:

En el index está la función la cadena aleatoria y del session_start. En caso de que no estés logueado te manda al formulario de login y en caso de que si lo estés te manda al contenido.
En el formulario están los campos de usuario, contraseña y un hidden con la cadena aleatoria.
Estos se envían sumandole a la contraseña la cadena aleatorioa y codificandolo a md5.

Lo que no sé es como se compara, esa cadena aleatoria que se deberá mandar al servidor con los datos del post. Hasta el momento comparar usuario y password con el MySQL si sé.

La intención de esto, no es para una web, es para acceder a una página web donde se muestran datos de un autómata.

Espero haber sido más claro.

Gracias de nuevo.

bueno no me queda clara la finalidad, se ultiliza una cadena aleatoria en ocaciones para evitar que se logueen en tu pagina desde cualquier otra procedencia que no sea el formulario de login, si me explicas mejor que es lo que quieres hacer, te puedo decir si el metodo que estas usando es correcto o te recomiendo otro :)

Buenas!!

haber si te logre entender bien...

el session_start() no activa tus variables de session, por otro lado se supone que tu contraseña esta guardada en la base de datos y es con ella con quien tienes que comparar no con otra cosa
lo que quiero entender es quieres usar un especie de capcha para verificar el formulario pero aun asi... no le veo sentido

como ya te dijeron si explicas mejor se te podra orientar...

Saludos!

Muchas gracias a todo, perdón por no explicarme bien, pero soy nuevo en esto.

1º Ingresas en localhost
Si estas logueado ->vas a: Contenido
Si no estas logueado( lo lógico) ->vas a: Formulario de login.

2º En Formulario de login introduces: Nombre de usuario y Contraseña, además en hidden una cadena aleatoria. Cuando pulsas el botón de entrar: A la contraseña que has introducido se le suma la cadena aleatoria y se codifica a md5.** Con esto consigo enviar la contraseña "encriptada".

3º Se comparan: el usuario con la base de datos y, la contraseña de la base de datos mas la cadena aleatoria, con lo que viene del POST del formulario.

4º Si ambos coinciden -> vas a: Contenido.

Espero que esta sea la buena :D

Eso que quieres hacer se conoce como Token, sin embargo la forma que lo estas implementando no te va a servir por el simple hecho de dos cosas:

1.- MD5 es un algoritmo de hasheo, no de cifrado, por lo tanto no puedes obtener la cadena original a partir del hash.

2.- La cadena es aletaoria, no hay forma de que el servidor sepa cual es la cadena para comparar (y aparte como viene ya como md5, es peor).

Es mejor que uses como hasta ahora un token (password + salt) es lo más seguro actualmente y cifres el contenido usando crypt + blowfish, md5 ya es muy vulnerable por todos los sitios que hay de diccionarios md5.

Saludos.