Я пытаюсь исправить ситуацию на PHP-сайте. Существует пара функций PHP:
function get_rnd_iv($iv_len) { $iv = ''; while ($iv_len-- > 0) { $iv .= chr(mt_rand() & 0xff); } return $iv; } function md5_encrypt($plain_text, $password, $iv_len = 16) { $plain_text .= "\x13"; $n = strlen($plain_text); if ($n % 16) $plain_text .= str_repeat("\0", 16 - ($n % 16)); $i = 0; $enc_text = get_rnd_iv($iv_len); $iv = substr($password ^ $enc_text, 0, 512); while ($i < $n) { $block = substr($plain_text, $i, 16) ^ pack('H*', md5($iv)); $enc_text .= $block; $iv = substr($block . $iv, 0, 512) ^ $password; $i += 16; } return base64_encode($enc_text); } function md5_decrypt($enc_text, $password, $iv_len = 16) { $enc_text = base64_decode($enc_text); $n = strlen($enc_text); $i = $iv_len; $plain_text = ''; $iv = substr($password ^ substr($enc_text, 0, $iv_len), 0, 512); while ($i < $n) { $block = substr($enc_text, $i, 16); $plain_text .= $block ^ pack('H*', md5($iv)); $iv = substr($block . $iv, 0, 512) ^ $password; $i += 16; } return preg_replace('/\\x13\\x00*$/', '', $plain_text); }
Они используются для шифрования IP-адресов пользователей в базе данных. Параметр $ password хранится в конфигурационном файле php (поэтому только сброс sql не даст вам IP-адреса даже тогда, когда вы знаете эти функции).
Я все еще озадачен ими, поскольку MD5 явно хеширует, и только такие вещи, как bruteforcing, могут отменить его.
Может ли кто-то с большим опытом работы с PHP объяснить, как работает это дешифрование? Зашифрованный текст – это не простой MD5, поэтому мне, возможно, придется понять, что там происходит.
В любом случае я пытаюсь написать хранимую функцию mysql, выполняющую дешифровку, потому что я хочу присоединиться к другой таблице по IP-адресам (таблица, содержащая диапазоны IP для стран), и возвращать коды страны в запросе.
Проблемы: я никогда не писал функцию MySQL. Как сделать цикл while? есть такие функции, как pack и preg_replace, которые не встроены в MySQL, мне тоже нужно их реализовать?
Любая помощь будет оценена (от намеков до полной функции)!
Такие комментарии, как «MD5 нельзя расшифровать, это хеширование!» не будут оценены.