Wie erstelle ich einen mySQL-Benutzer mit hash('sha256', $salt . $password)?

Question

Ich muss etwas übersehen haben.

Ich möchte ein Datenbank-Benutzerkonto für Select-Only-Transaktionen einrichten, aber Mysql lässt mich bei der Erstellung eines Benutzerkontos nicht die Hash-Methode für ein Kennwort auswählen.

scheitert dies:

GRANT SELECT ON myDB.* TO 'selectuser'@'localhost' 
IDENTIFIED BY hash('sha256', 'salted-myfakelongrandompasswordstring');

FEHLER 1064 (42000): Sie haben einen Fehler in Ihrer SQL-Syntax; lesen Sie im Handbuch zu Ihrer MySQL-Server-Version nach, um die richtige Syntax zu finden, die Sie in der Nähe von 'hash('sha256', 'salted-myfakelongrandompasswordstring')' in Zeile 1 verwenden müssen

das geht vorbei:

GRANT SELECT ON myDB.* TO 'selectuser'@'localhost' 
IDENTIFIED BY 'salted-myfakelongrandompasswordstring';

Ich habe die phpinfo-Seite überprüft und die sha256-Hash-Engine ist bereits aktiviert.

gibt es eine Möglichkeit, den Standard-Hashing-Algorithmus für Mysql zu ändern, oder ist die Syntax einfach falsch auf meinem SQL?

Answer 1

Nein, Sie sollten nicht Ihr eigenes Passwort-Hashing für die MySQL-Authentifizierung verwenden.

MySQL verwendet seine eigene Passwort-Hash-Funktion ( PASSWORD() ), die eine 41-Byte-Hex-Zeichenkette erzeugt (basierend auf der zweimaligen Anwendung von SHA1 auf die Eingabe). Ein Salt wird leider nicht verwendet.

Wenn Sie in der Lage waren, die GRANT in der Art und Weise, wie Sie es in Ihrer Frage zeigen, dann würde MySQL seine PASSWORD() Funktion auf die String-Ausgabe der hash() Funktion. Wenn Sie sich dann anmelden wollen, müssen Sie den 256-Bit-Hash Ihres Passworts eingeben, damit er mit dem in der MySQL-Authentifizierungsdatenbank übereinstimmt.

Außerdem unterstützt MySQL die SHA2() Familie von Hash-Funktionen ab MySQL 6.0.5.

En hash() Funktion ist etwas, das Sie wahrscheinlich noch aus PHP kennen. Sie ist nicht Teil von MySQL.

---

Update: Ich habe diese Woche an der MySQL-Konferenz teilgenommen und herausgefunden, dass sie ihre Roadmap für künftige Produktversionen komplett ändern. Die SHA2() Funktion ist derzeit Teil des MySQL-Quelltextes, aber es ist unklar, welcher Produktversion das entspricht. Außerdem müssen Sie MySQL mit OpenSSL/YaSSL-Unterstützung bauen, um SHA2() zur Arbeit.

---

Zu Ihrem Kommentar: Normalerweise ist die MySQL-Authentifizierung völlig getrennt von der Authentifizierung des Benutzerkontos in einer bestimmten Webanwendung (dies ist aus mehreren Gründen die beste Praxis).

Ja, Sie müssen den Benutzernamen und das Kennwort für die MySQL-Authentifizierung für Ihre Webanwendung fest programmieren. Könnte in, aber noch besser wäre eine Konfigurationsdatei sein. Natürlich, setzen Sie diese außerhalb der Web-Root.

Wenn sich ein Benutzer anmelden muss, berechnen Sie die hash() des eingegebenen Passworts, kombiniert mit dem Salz Wert, der für ihr Konto erfasst ist. Anschließend wird dieser Wert mit dem in der Datenbank für diesen Benutzer gespeicherten Hashwert verglichen. In Pseudocode:

$salt = $db->query("SELECT salt FROM Accounts WHERE account_name = ?", 
    $input_account_name);

$password_hash = hash('sha256', $salt + $input_password)

$is_password_correct = $db->query("SELECT password_hash = ? 
    FROM Accounts WHERE account_name = ?",
    $password_hash, $input_account_name);

Answer 2

Diese Dokumentationsseite scheint darauf hinzuweisen, dass sha256 in MySQL nicht implementiert ist:

Zu der Erwähnung von sha1, gibt es stärkere Versionen wie sha256, sha384, sha512 usw., aber mysql implementiert sie nicht; sie müssten im Code implementiert werden.

Answer 3

...IDENTIFIED BY hash('ihr_passwort','256'). Dies veranlasst MySQL, Ihr Hash-Passwort zu hashen ;-)