Vérifier si la chaîne est un Hachage MD5

Par accident, j'ai arrêté de hachage des mots de passe avant ils étaient stockés, alors maintenant ma base de données est un mélange de mots de passe MD5 et unhashed mots de passe.

Je veux faire une boucle par hachage et de ceux qui ne sont pas de MD5. Est-il possible de vérifier si une chaîne est un hachage MD5?

  • NullPointer la réponse est votre meilleur coup, mais encore, vous ne pouvez pas être sûr, sauf si vous êtes déjà en permettant aux utilisateurs d'enregistrer un mot de passe qui peut être de 32 caractères de long.
  • Hors sujet, mais MD5 est considéré comme "cassé" pour le stockage des mots de passe en raison de la facilité avec laquelle vous pouvez calculer toutes les clés possibles. Regardez: stackoverflow.com/questions/4795385/... et stackoverflow.com/questions/1581610/... et openwall.com/phpass
InformationsquelleAutor kmoney12 | 2013-01-13
  1. 89

    Vous pouvez vérifier à l'aide de la fonction suivante:

    function isValidMd5($md5 ='')
{
    return preg_match('/^[a-f0-9]{32}$/', $md5);
}

echo isValidMd5('5d41402abc4b2a76b9719d911017c592');

    Le MD5 (Message-digest algorithm) Hachage est généralement exprimé en format texte comme un 32 nombre de chiffres hexadécimaux.

    Cette fonction vérifie que:

    1. Il contient uniquement de chiffres et de lettres (a-z, 0-9).
    2. C'est de 32 caractères de long.
    • Le !empty case est entièrement superflu là.
    • Pourquoi avez-vous besoin pour vérifier si il est vide? N'est-ce pas déjà return false si preg_match() ne correspond pas?
    • Quelle est la précision sur ce point? Puis-je avoir confiance complètement? Désolé de ne pas trop en savoir sur les expressions régulières.
    • Elle renvoie 0 si elle ne correspond pas, synonyme de false. +vote @inhan
    • ouais, la documentation lit Returns the hash as a 32-character hexadecimal number. ce qui signifie que la valeur devrait être composé de 0-9 et a-f uniquement des caractères et il devrait être de 32 caractères de long.
    • Je n'ai commencé à les expressions régulières hier, mais ce preg_match('/^[a-f0-9]{32}$/' est en indiquant thata chaîne de 32 caractères ne peut contenir que des lettres de a à f (hex) et les chiffres de 0 à 9. Il ya quelques raisons pourquoi vous pouvez faire confiance à cela, et ne le peuvent pas. 1. MD5 est de 32 caractères de long, 2. MD5 ne contient que des minuscules caractères alphabétiques a à f). Quelqu'un peut faux un hachage MD5, il n'existe pas de méthode infaillible pour détecter si les textes, les informations, est d'une certaine source, sauf si vous allez dans des choses comme la connexion sécurisée cookies, etc..., qui est un sujet complètement différent.
    • Longue histoire courte, cette méthode est très bien pour l'analyse de la format de la chaîne vous êtes à la vérification.
    • quelque chose d'important est, assurez-vous que votre MD5() appel ne comprennent pas le second paramètre qui peut être converti en true sinon, cette fonction ne sera pas vous aider. De vérifier la raw_output (2) le paramètre MD5() de documentation.
    • convenu .. l'utilisateur inhan édité répondre
    • Personne ne semble avoir répondu à votre 'précision' commentaire pour le moment: cette fonction vérifie qu'une chaîne est dans le format d'un hachage MD5, il ne valide pas que est un véritable mot de passe haché - qui ne peut être déterminé. Il reviendra également vrai si l'un de vos unhashed mots de passe répond aux exigences en matière de format - mais c'est peu probable.
    • Merci! Je l'ai utilisé comme ceci: if (!preg_match('/^[a-f0-9]{32}$/', $md5)) {return false;} (pas de mot de passe, lol!)
    • Pourquoi êtes-vous en utilisant une chaîne vide comme paramètre par défaut?
    • vous avez une faute de frappe: "Sa contenir la lettre et de chiffres (a-z,0-9)" doit être "(a-f,de 0 à 9)"
    • A noter que preg_match peut pas return boolean mais int, donc votre fonction ne fonctionnera pas dans eg (si(isValidMd5($hash) === true)). Ici est la version plus rapide, qui surmonte également mentionné le problème: sandbox.onlinephpfunctions.com/code/...

    InformationsquelleAutor NullPoiиteя
  2. 31

    Peut-être un peu plus rapide:

    function isValidMd5($md5 ='') {
  return strlen($md5) == 32 && ctype_xdigit($md5);
}
    • +1, probablement plus rapide, et aussi plus lisible que la regex. Il pourrait faire une petite sortie sur le strlen appel pour la plupart des chaînes non valides, alors je soupçonne que le ctype_xdigit appel est plus rapide que de lancer un moteur d'expressions régulières.
    • Notez que vous ne pouvez pas être sûr à 100% de la chaîne qui passent ce test est md5 ou texte en clair le mot de passe. Peu probable, mais quelqu'un peut avoir un mot de passe similaire au format md5.
    • Je ne suis pas d'accord avec vous. Vous pouvez être sûr à 100% que la chaîne est une valeur de hachage md5. Si la chaîne a été conçu pour être valide hachage md5 est un tout autre point..
    • vous navez pas me comprendre.. "e4bfb280c702635cf71d46a0c8c33b96" c'est peut-être hashé en md5 (), mot de passe, ou tout simplement d'un mot de passe. Vous ne pouvez pas être sûr 🙂
    • Une fois de plus, "e4bfb280c702635cf71d46a0c8c33b96" est pour à 100% valide hachage md5, vous ne pouvez pas être sûr si c'était destiné à être. Si c'est votre mot de passe, puis c'est à la fois valide md5 et votre mot de passe en clair.
    • Oui, vous ne pouvez pas être sûr à 100%, que c'est le md5 de la chaîne pour cela, vous devez utiliser: !ctype_digit($md5) && ctype_lower($md5) && ctype_alpha($md5)
    • Réponse risque d'être un peu en retard, mais ce que vous suggérez est juste n'importe quoi et je tiens à préciser que. Je suis en supposant que la représentation de l'md5 hash en chaîne hexadécimale comme tout le monde ici ne. Il peut et surtout ne contenir que des chiffres, donc !ctype_digit est faux. Il n'a pas à être en minuscule, donc ctype_lower est faux, rien de mal avec les majuscules, les tables de hachage. Il ne peut pas avoir des personnages au-delà de f, donc ctype_alpha est faux.
    • Plus rapide si, et seulement si le caractère est plus courte que 32. si non, alors implique inutile d'appel de fonction, les frais généraux, dans ce cas, strlen
    • Ce n'est pas sur 2 appels de fonction par rapport à 1 appel de fonction, c'est à propos de l'exécution d'un moteur d'expressions régulières contre 2 plutôt léger appels de fonction. Sur ma machine non regex version fonctionne environ 75% plus rapide, bien sûr cela dépend de l'entrée, dans mon cas de test aléatoire généré, voir pastebin.com/BhpPpGyw pour essayer vous-même
    • Je suis entièrement d'accord avec vous. Je n'étais pas en train de dire que votre approche est plus lent, même si ça sonnait comme ça. Je pensais simplement qu'il est intéressant de noter circonstances, il est plus rapide avec.

    InformationsquelleAutor RaphaelH