Форум PHP

Молодец! :)

Подбор голого пароля был бы достаточно прост с помощью бинарного поиска, например. А с хешем так не прокатит -- нужно менять пароль так, чтобы n-ая цифра hex-представления хеша была бы такой, какая нам заблагорассудится. Что, в общем-то, невозможно.

А я про то, что Вы имели ввиду, до того как стали иметь ввиду то, что имеете ввиду сейчас...

Вы сам хеш просто не достанете, я это имею ввиду. А Вы про что?

да нет... смотря какой хеш...

$auth_psw      = strtolower($auth_psw);        if(!preg_match("/^[-0-9a-z_]{5,}$/i", $auth_psw)) {print "Password is incorrect.<br>";return;}          $query = "SELECT id_user, name, `group`                      FROM {$gl_db_prefix}users  WHERE login = '{$auth_login}' AND psw   = md5('{$auth_psw}')";

вот это strtolower с ограничением до лат.букв и цифр вкупе с прямым MD5 - кхм...
После этого условие - не менее 5 символов - просто издевка какая-то.

ничего не даст
Смотря какой пароль ;) а то можт по базе хешей "бьётся в лёт")

> На мой взгляд это немного упрощает подбор хэша не более

Это много упрощает подбор хеша. Впрочем, всё же это хеш, я думал голый пароль.

Хотя нет, не подумал. Раз там хеш, то особо действительно ничего не даст.

Почему зря. О глюке я знал и намеревался исправить. Его уже нет в 1.14d1 (тестовой версии новых возможностей, которая выложена на официальном сайте). Не думал, что тут уязвимость. На мой взгляд это немного упрощает подбор хэша не более. Или тут более хитрое дело?

> Ну, тут пароль подбирать надо. Надо ОЧЕНЬ постараться и не факт, что получится.

Ну это Вы зря...

-