Ver este artículo en el blog - Google+ - @tuprimeraweb 3 Ejercicios Para Encriptar y Desencriptar Datos en MySQL E
Views 185 Downloads 2 File size 216KB
Ver este artículo en el blog - Google+ - @tuprimeraweb
3 Ejercicios Para Encriptar y Desencriptar Datos en MySQL Empezaremos con este post con el primero de tres ejercicios que consistirán en: 1. La base de datos y un formulario para guardar claves encriptadas (en este artículo) 2. Un formulario para validar los datos de un visitante 3. Un formulario de emergencia para os usuarios que olvidaron su contraseña personal Si deseas recibir las siguientes publicaciones en tu bandeja de correo anótate en el formulario a la derecha “Suscripción por correo electrónico”, o también podrías sindicar este blog con la dirección de nuestros feed
.
El ejercicio esta preparado para quienes tengan conocimientos intermedios de PHP (base de datos), del uso de phpMyAdmin y HTML5, trataré de mantener la explicación lo más sencilla posible.
La base de datos Ingresamos a phpMyAdmin para diseñar nuestra base de datos (la nombraré ‘datos’), para no complicarnos el ejercicio y centrarnos en lo que nos interesa agregamos la tabla ‘usuarios’ con la siguiente estructura (5 campos): Campo
Atributos
idusuario entero, PK, auto_incremental nombres
nick
clave
varchar de 50 caracteres (en realidad pediremos nombre y apellido) varchar de 50 caracteres, índice único (para impedir dos usuarios con el mismo alias) varchar de 50 caracteres
clavex longtext (es para guardar la clave encriptada) Una vista de mi phpMyAdmin:
Pág. 1
Ver este artículo en el blog - Google+ - @tuprimeraweb
Y para quienes prefieren insertar instrucciones de comando a continuación las líneas del script al generar un backup de la BD: -- phpMyAdmin SQL Dump -- version 3.5.1 -- http://www.phpmyadmin.net -- Servidor: localhost -- Tiempo de generación: 05-10-2013 a las 10:49:13 -- Versión del servidor: 5.5.24-log -- Versión de PHP: 5.3.13 SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO"; SET time_zone = "+00:00"; /*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */; /*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */; /*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */; /*!40101 SET NAMES utf8 */; -- Base de datos: `datos` -- --------------------------------------------------------- Estructura de tabla para la tabla `usuarios` CREATE TABLE IF NOT EXISTS `usuarios` ( `idusuario` int(11) NOT NULL AUTO_INCREMENT, `nombres` varchar(50) NOT NULL, `nick` varchar(50) NOT NULL, `clave` varchar(50) NOT NULL, `clavex` longtext NOT NULL, PRIMARY KEY (`idusuario`), UNIQUE KEY `nick` (`nick`) ) ENGINE=InnoDB DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ; /*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */; /*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */; /*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
Sobre la encriptación de cadenas No voy a extenderme en este punto sobre el que hay mucha y diversa información, me basaré en el sitio en español de PHP.net sobre funciones de hash, y de forma particular usaré la función hash_hmac(), posiblemente alguién me corrija sobre una mejor opción y saldré ganando . ¿Cómo saber si tu servidor soporta esta u otras cadenas hash? Carga phpinfo(), si no hay un acceso rápido crea una página en tu servidor con extensión php: Pág. 2
Ver este artículo en el blog - Google+ - @tuprimeraweb
Carga esta página en tu navegador y busca la cadena ‘hash’, creo que todos los navegadores reconocen la combinación Ctrl + F, encontrarás este bloque:
La primera fila está en ‘enabled’ y significa que si soporta hash, la segunda fila muestra todas las funciones hash que están soportadas. La función hash_hmac() requiere al menos de 3 parámetros (tipo cadena) en este orden: 1. El algoritmo de cifrado que se va a usar, usaré en este ejercicio sha512, que en lo personal me parece bastante seguro (recordemos que la seguridad está en una serie de buenas prácticas y no solamente en encriptar). 2. La cadena a cifrar 3. Otra cadena que se usará en el algoritmo para encriptar la cadena 2 (usaré ‘primeraweb’). 4. Opcionalmente un valor booleano, al omitir permanece en FALSE y la salida estará en valor hexadecimal en minúsculas. Otro dato importante es que la cadena encriptada no podrá ser desencriptada, en realidad lo que haremos en el segundo ejercicio es comparar dos cadenas encriptadas.
El formulario Ahora el formulario en donde se registrará el nuevo usuario, solicitaremos su nombre y apellido, su nombre de usuario y su contraseña, en la pagina encripta1.php, las excusas del caso, omitiré las mayorías de las etiquetas para ir directamente al formulario:
Formulario de registro
Nombre y apellido
Nombre de usuario
Contraseña
Pág. 3
Ver este artículo en el blog - Google+ - @tuprimeraweb
Nota: Si van a copiar y pegar es muy probable que tendrán que corregir las comillas.
Al cargar en el navegador tendremos esto (el navegador de Microsoft 8 y anteriores no sirven para HTML5):
En el action del formulario indicamos que los datos se enviarán a ‘encripta2.php’, allí procesaremos los datos encriptando la clave y almacenado en la BD, nuevamente iré directo a la implementación que nos interesa:
Este bloque termina imprimiendo la cadena encriptada (tranquilos, aún no hemos terminado) compuesta de dígitos hexadecimal en minúsculas, continuemos, puesto que solo lo coloqué para una prueba quitaré esa última línea.
Nos conectamos al servidor MySQL con ‘mysqli_connect()’ y preparamos en la variable $cadena_sql nuestra instrucción Insert para guardar los nuevos datos, quité las barras a la última línea para imprimir la instrucción SQL.
Ejecutamos la consulta con ‘mysqli_query()’, si la consulta de ejecuta devolverá un entero mayor a cero, es el número de registros afectados (en este caso se insertó un solo registro), si la operación fracasa se devuelve cero. Para eso usamos la estructura ‘if’ y mostramos un mensaje según la tarea tuvo éxito o no. Con ‘mysqli_close()’ cerramos el recurso de conexión, el código completo de esta Pág. 4
Ver este artículo en el blog - Google+ - @tuprimeraweb
página es (nuevamente voy directo a lo que nos interesa):
Registrando sus datos