Kryptering med AES_ENCRYPT

;o) koden f.eks. "xdftdawfarererefadsrf3"

;o)

key_str er din key (som skal vaere hemmelig)

crypt_str er den krypterede vaerdi som skal dekrypteres

Skal vi ikke lige tage det for en enden af?

Vi siger at dette skal krypteres "julemanden" og det er et password.

Først tager vi ENCRYPT. Hvad skal 1) str og 2) key_str være her?

Derefter tager vi DESCRYPT. Hvad skal 3) crypt_str og 4) key_str være her?

Et hurtigt eksempel:

mysql> select AES_ENCRYPT('julemand','hemlit');
+----------------------------------+
| AES_ENCRYPT('julemand','hemlit') |
+----------------------------------+
| \uffff'4\uffff\uffff/}\uffffdHT\uffffz~\uffffB                |
+----------------------------------+
1 row in set (0.00 sec)

mysql> select AES_DECRYPT(AES_ENCRYPT('julemand','hemlit'),'hemlit');
+--------------------------------------------------------+
| AES_DECRYPT(AES_ENCRYPT('julemand','hemlit'),'hemlit') |
+--------------------------------------------------------+
| julemand                                              |
+--------------------------------------------------------+
1 row in set (0.00 sec)

mysql> select AES_DECRYPT(AES_ENCRYPT('julemand','hemlit'),'hemligt');
+---------------------------------------------------------+
| AES_DECRYPT(AES_ENCRYPT('julemand','hemlit'),'hemligt') |
+---------------------------------------------------------+
| NULL                                                    |
+---------------------------------------------------------+
1 row in set (0.00 sec)

OK.

Jeg kan godt få det ENCRYPT til at virke, men har problemer med DESCRYPT. Jeg har flg. SQL-streng:

Set rs = Conn.Execute("SELECT user, pass, email FROM com_users WHERE email = '" & strEmail & "'")

Her mit problem så, hvordan får jeg så feltet pass, som er krypteret, til at blive dekrypteret?

Jeg har prøvet flg.:

Set rs = Conn.Execute("SELECT user, AES_DECRYPT(com_users.pass,'pass') AS pass, email FROM com_users WHERE email = '" & strEmail & "'")

Det giver NULL.

Jeg er kommet til at blande noget ASP ind, men stregen vil således ud, uden ASP:

Set rs = Conn.Execute("SELECT user, pass, email FROM com_users WHERE email = 'test@uniqo.dk'")

Ser umiddelbart korrekt ud - hvordan putter du det i feltet første gang?

09:13:16 ser korrekt ud ...

Og hvad er feltttypen?

create table aes (
  id int(11) auto_increment not null,
  primary key(id),
felt varchar(100));

mysql> insert into aes (felt) values (AES_ENCRYPT('paaskeharen','ssshh'));
Query OK, 1 row affected (0.00 sec)

mysql> select * from aes;
+----+------------------+
| id | felt            |
+----+------------------+
|  1 | û^íp÷&áÒ±´ôv |
+----+------------------+
1 row in set (0.01 sec)

mysql> select AES_DECRYPT(felt,'ssshh') as felt from aes;
+-------------+
| felt        |
+-------------+
| paaskeharen |
+-------------+
1 row in set (0.00 sec)

mysql>

Præcis! Jeg havde kommet til at skrive to forskellige ting i key_str. Så nu virker det.

Jeg brugte flg.: AES_ENCRYPT('" & strPass & "','pass')

Tak for hjælpen, smider du lige et svar?!

Jeg samler slet ikke på point, tak.

Men sikkerheden i dit system kan jo stadig diskuteres. Har man adgang til databasen, er det rimeligt at antage, at man også har adgang til password, som må stå i noget af din kode. Nu er det tekniske problem løst, men der for mig at se ikke noget, der tyder på at du har øget sikkerheden.

OK. Det var mere for at jeg selv ikke kunne gå ind og læse folks passwords. MySQL-serveren har jeg hos en webhotel udbyder, mon ikke de har stillet noget sikkedhed op mod angreb.

Men du *kan* læse deres passwords, hvis du vil. Man "plejer" at bruge en MD5-hash (eller SHA1, eller en anden kryptografisk hash), som gør at end ikke du kan læse deres passwords (den skal så lige anvendes rigtigt - pas på gamle artikler om det).

Ja, sådan kan jeg jo godt. Hvis jeg trækker pass-feltet ud og dekryptere det. Det gøre jeg jo sådan set, for at få login-systemet til virke. Det var mere hvis jeg gik ind i databasen og jeg så kunne se det stå der ved første øjekast.

Jeg vil dog lige takke for hjælpen og rådene!

!