“MD5解密”php函数到MySQL存储函数

Posted 2023-03-27

【中文标题】“MD5解密”php函数到MySQL存储函数

【英文标题】："MD5 decrypt" php function to MySQL stored function

【发布时间】：2012-01-14 08:59:30

【问题描述】：

我正在尝试修复 php 站点上的问题。有一对PHP函数：

function get_rnd_iv($iv_len) 
        $iv = '';
        while ($iv_len-- > 0) 
                $iv .= chr(mt_rand() & 0xff);
        
        return $iv;

function md5_encrypt($plain_text, $password, $iv_len = 16) 
        $plain_text .= "\x13";
        $n = strlen($plain_text);
        if ($n % 16) $plain_text .= str_repeat("\0", 16 - ($n % 16));
        $i = 0;
        $enc_text = get_rnd_iv($iv_len);
        $iv = substr($password ^ $enc_text, 0, 512);
        while ($i < $n) 
                $block = substr($plain_text, $i, 16) ^ pack('H*', md5($iv));
                $enc_text .= $block;
                $iv = substr($block . $iv, 0, 512) ^ $password;
                $i += 16;
        
        return base64_encode($enc_text);

function md5_decrypt($enc_text, $password, $iv_len = 16) 
        $enc_text = base64_decode($enc_text);
        $n = strlen($enc_text);
        $i = $iv_len;
        $plain_text = '';
        $iv = substr($password ^ substr($enc_text, 0, $iv_len), 0, 512);
        while ($i < $n) 
                $block = substr($enc_text, $i, 16);
                $plain_text .= $block ^ pack('H*', md5($iv));
                $iv = substr($block . $iv, 0, 512) ^ $password;
                $i += 16;
        
        return preg_replace('/\\x13\\x00*$/', '', $plain_text);

它们用于加密数据库中用户的 IP 地址。 $password 参数存储在 php 配置文件中（因此即使您知道这些功能，仅转储 sql 也不会给您 IP-s）。

我仍然对它们感到困惑，因为 MD5 显然是散列，只有像暴力破解这样的东西才能逆转它。

有更多php经验的人可以解释一下，这个解密是如何工作的？加密的文本不是简单的 MD5，所以我可能必须了解那里发生了什么。

无论如何，我正在尝试编写一个 mysql 存储函数来进行解密，因为我想通过 IP-s 加入另一个表（包含国家 IP 范围的表），并且只返回查询中的国家代码.

问题是：我从未编写过 MySQL 函数。我如何制作一个while循环？ MySQL中没有内置pack和preg_replace之类的功能，我是否也必须以某种方式实现它们？

任何帮助将不胜感激（从提示到完整功能）！

诸如“MD5 无法解密它是散列！”之类的评论不会被欣赏的。

【问题讨论】：

md5 仅用于 IV - 加密本身似乎是某种异或...

你真的需要加密吗？这种可逆方案是不安全的（从安全的角度来看），如果您唯一想要的是比较 IP 地址，那么哈希可能会更安全，并且 MySQL 已经有许多哈希函数。

您没有发布完整的代码。以下是完整代码：jonasjohn.de/snippets/php/md5-based-block-cipher.htm

Sawny：感谢您提供此链接。不知何故，get_rnd_iv 在 copypasta 中丢失了。 @Paulo Scardine：这样我就需要暴力破解每个 IP 以检查当前哈希所在的 IP 范围。

哇，一个基于散列的自行设计的密码，包括自行设计的填充和密钥流。有趣的是，它可能实际上是安全的，乍一看，我没有看到任何大问题（除了它是一种算法和第一个规则加密是：不要创建自己的算法（实现）。

【参考方案1】：

在这些函数中，md5 仅用于计算常量组件$iv_len 的哈希值，稍后将其用作密码的盐。

所有其他操作都是可逆的（字符串填充、打包和 XOR [^]）

至于 MySQL 功能，我不会做。恕我直言，更好的解决方案是使用 country_from_ip 列扩展用户表并从 php 填充它，方法是解密所有现有 IP 并获取其国家代码并修改 php 代码以添加此信息，同时保存新记录。

对由函数计算的字段进行连接将很快成为您的应用程序的瓶颈

【讨论】：

是的，我认为这将是最好的解决方案。我要写了。

【参考方案2】：

没有对 IP 地址执行 MD5 哈希，它似乎用于将一些随机种子数据添加到加密中，或者其他什么。

至于怎么解密，为什么要用SQL呢？虽然可能是可能的，但我怀疑 PHP 在这种类型的操作上要快得多。

使用 SQL 一次选择 1000 个用户行，然后使用 PHP 将它们实际链接到每个国家/地区。

【讨论】：

ipranges-countries 存储在数据库中，我不想为每个 IP 地址运行查询。而且我不知道 mysql 函数的速度，但是根据我的经验，返回查询并在转换每条记录并在每条记录上运行查询后，如果您可以在 sql 中进行转换，通常是不好的做法。但如果你告诉我这是个坏主意，我可能不得不相信你。似乎是一个有趣的问题。