Terkadang dalam membuat website yang digunakan oleh publik, kita perlu menyimpan data penting seseorang, diantaranya adalah berupa password. Seperti di website ini, ketika anda melakukan pendaftaran, anda diminta memasukkan password untuk account anda.
Saat mengisikan password, bisa saja anda berpikir 'wah, jangan-jangan webmaster bisa lihat passwordku?'
Secara teknis, memang bisa, karena dalam hal ini webmaster yang membuat script PHP-nya. Namun secara etika, kita mesti saling percaya, bahwa password merupakan privasi seseorang. Jadi meski saya bisa (mampu) membuat agar password anda terbaca oleh saya, tapi saya tidak melakukannya. Hal tersebut karena password anda tersimpan secara ter-enkripsi.
Dalam MySQL, terdapat fungsi PASSWORD() yang berguna untuk mengenkripsi sebuah string, sehingga meski suatu record bisa terbaca, tapi isi field bisa disembunyikan. Kalau tidak salah (cuma nebak) fungsi PASSWORD menggunakan fungsi MD5, yang cukup banyak digunakan karena kehandalannya.
Implementasi dari fungsi tersebut adalah, ketika seorang user melakukan pendaftaran, lalu data tersebut akan disimpan, maka field 'password' dikenakan fungsi PASSWORD() ini.
![[Valid RSS]](valid-rss.png "Validate my RSS feed"){kind=small}
Contoh:
$username = 'aryo';
$password = 'stiki';
$fullname = 'Aryo Sanjaya';
$email = 'aryo@elang526.net';
insert into pengguna(username, password, nama, email)
values('$username',PASSWORD('$password'),'$fullname','$email')
Seperti terlihat, khusus field 'password', valuenya dikenakan fungsi PASSWORD() sehingga yang nantinya tersimpan bukan string 'stiki', tapi string '60e866ca5bc6cf90', yang merupakan hasil pengacakan string 'stiki'.
Langkah selanjutnya, yaitu untuk membaca data user ketika ada user yang 'login'. Untuk membandingkan password, maka value password yang diinputkan oleh user harus dikenakan fungsi PASSWORD() juga.
Contoh:
$username = 'aryo';
$password = 'stiki';
select nama, email from pengguna
where username = '$username'
and password = PASSWORD('$password')
Dengan seperti itu, maka perbandingan password dalam keadaan masih terenkripsi. Dan sang webmaster sekalipun tidak akan tahu password dari pengguna websitenya. Itu kalau dia punya etika untuk menerapkan teknik ini, atau teknik sejenisnya.
Demikian hal sedikit dari saya, semoga ada manfaatnya.
Aryo Sanjaya
Pakdhe kiyat (iki boso kromone kuwat yo?), Kalo aku sih kalo udah ada account di serper mysql, pakenya ya account itu. Tinggal bikin tabel databasenya. **Eh.. balesanku iki nyambung gak yo?**
Kiyat: Mestinya sih liat dulu substansi aplikasinya. *uhh, boso politik* Kalo user tersebut tidak membutuhkan akses ke database, ya mending ga usah didaftarkan di database server. Kayaknya jarang kasus seperti itu terjadi deh. Mungkin itu terjadi, ketika kamu bikin aplikasi Back-End (atau Back-Door?
) seperti misalnya CPanel, PHPMyAdmin, untuk manajemen database, baru ada kemungkinan untuk mendaftarkan user di database server. Kalo sekedar untuk tau user mana saja yang login, kan bisa menggunakan Log database
Untuk pengapitan [code], itu aja masih versi beta Yat
Deni: Ealah, aku malah gak kepikir lek jenenge Kiyat iku teko boso kromo. (Upss... no offense please)
wekekekek... mas, lha kalo liat di log database (ngapunten kulo mbonten pernah liat) kalo mysql lognya dimana? terus kalo gak di daptarin di serper, kan ketahuannya cuma nama user yang di buat untuk koneksi (jika dan hanya jika user lain di masukan table doang) kados pripun kang mas sedoyo mawon
Maksudku log itu bukan log-nya database server. Kalo kita bikin aplikasi yang secure, setiap ada user yang login/logout, selalu dicatat di tabel tersendiri, termasuk jam, ip-address, browser, dll. Nah, dari catatan itulah kita bisa tau siapa aja yang sedang konek
Tambahan, pencatatan ke dalam log itu dilakukan sendiri oleh script kita loh, jika ada user yang telah sukses login (bahkan untuk yang gagal login juga dicatat biar lebih aman).
Pak kalo terjadi lupa password pye?
Halo Ree, Karena passwordnya dienkrip satu arah (one way hashing), maka satu-satunya kemungkinan yang masuk akal jika lupa password, adalah dengan membuat password baru. Kalo di layanan email gratis, biasanya kita diberi kesempatan untuk melakukan 'Password reset', dimana password lama akan direplace dengan yang baru. Untuk layanan yang kurang bagus, biasanya kalo kita lupa password, kita bisa memperoleh kembali password kita yang lama. Ini justru membuktikan bahwa password kita tidak di-one-way-hashing-kan oleh layanan tersebut.
Ups... Maaf buat Dede, aku posting komentar di atas itu pake Nama dan Email kamu
Ga pa2 mas salah jurusan yach
Kiyat:
Memang sebaiknya user yang login/logout dikasih log sendiri, jadi bisa dicek validitasnya atau barang kali (batu, pasir, koral dsb... :D ) ada yang mau coba2 login dengan sembarangan atawa nge-hack..
Contoh sederhananya begene (pake PHP wae yo)
Itu memang masih sederhana banget, tapi semoga bisa jadi gambaran mbikin log. Ocre?
Utk Aryo:
Emang yen pake firefoc tulisan [code] dadi semrawut gini yo? :P
» GRABBING KURS BANK BCA (7)Constructors sebuah methode yg dijalakan ketika sebuah object dibuat dari sebuah class sedangkan Destructors adalah methode untuk menghapus object ketika script/program berakhir.
» OOP Pada PHP (Part 1) (23)TERINSPIRASI DARI GRABBING KURS BI BANG ARYO
» Menghitung Jarak Waktu (33)Pembahasan mengenai dasar pemrograman OOP pada PHP
(Rakhmad Maulidi)
» Grabbing Kurs Dari BI (21)Mengitung jarak waktu dan menampilkan sebagai Javascript
Grabbing data adalah tindakan tidak sopan. Tapi kali ini yang dibahas adalah teknik grabbing, masalah moral dan etika silakan cari sendiri (inspired by Iwan Fals)
