Witam.
Nie za bardzo rozumiem jak mam umieścić md5 w skrypcie aby wszystko działało poprawnie.

Rejestracja wygląda tak:

[PHP] pobierz, plaintext 
<?php
// DEKLARACJA ZMIENNYCH Z FORMULARZA //
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password_confirm = $_POST['password_confirm'];
	$mail = $_POST['mail'];
 
// sprawdzenie czy zmienne zostaly wprowadzone
 
if($username&&$password&&$mail)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych");
 
	$duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' || mail='$mail'");
	$num_rows = mysql_num_rows($duplicate);
 
	if ($num_rows){
		echo "Podana nazwa użytkownika lub e-mail jest już w użyciu";
		return;
	}else
 
	$insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')";
if (!mysql_query($insertquery))
{
 
	die('Error: ' . mysql_error());
}
	echo "Dodano użytkownika";
 
} else
die("Nie można było dodać użytkownika, wypełnij pola poprawnie.");
 
mysql_close($connect)
?>
[PHP] pobierz, plaintext 

a logowanie tak

[PHP] pobierz, plaintext 
<?php
	$username = $_POST['username'];
	$password = $_POST['password'];
 
if($username&&$password)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych");
 
	$query = mysql_query("SELECT * FROM users WHERE login='$username' && password='$password'");
 
	$numrows = mysql_num_rows($query);
 
	if ($numrows!=0)
	{
	$_SESSION['zalogowany'] = true;
    $_SESSION['username'] = $_POST['username'];
    $_SESSION['password'] = $_POST['password'];
 
	echo '<div id="message">Witamy '. $username .'. <a href="index.php">Powrót</a></div>';
 
	} else
	die("Nie ma takiego użytkownika");
 
} else
	die("Nieprawidłowy użytkownik lub hasło");
 
	mysql_close($connect)
?>
[PHP] pobierz, plaintext 

Będę wdzięczny za jakiekolwiek inne uwagi co do kodu.
Pozdrawiam.

rejestracja

[PHP] pobierz, plaintext 
<?php
// DEKLARACJA ZMIENNYCH Z FORMULARZA //
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password_confirm = $_POST['password_confirm'];
        $password = md5($password);
	$mail = $_POST['mail'];
 
// sprawdzenie czy zmienne zostaly wprowadzone
 
if($username&&$password&&$mail)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych");
 
	$duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' || mail='$mail'");
	$num_rows = mysql_num_rows($duplicate);
 
	if ($num_rows){
		echo "Podana nazwa użytkownika lub e-mail jest już w użyciu";
		return;
	}else
 
	$insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')";
if (!mysql_query($insertquery))
{
 
	die('Error: ' . mysql_error());
}
	echo "Dodano użytkownika";
 
} else
die("Nie można było dodać użytkownika, wypełnij pola poprawnie.");
 
mysql_close($connect)
?>
 
[PHP] pobierz, plaintext 

logowanie

[PHP] pobierz, plaintext 
<?php
	$username = $_POST['username'];
	$password = $_POST['password'];
        $password = md5($password);
 
if($username&&$password)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych");
 
	$query = mysql_query("SELECT * FROM users WHERE login='$username' && password='$password'");
 
	$numrows = mysql_num_rows($query);
 
	if ($numrows!=0)
	{
	$_SESSION['zalogowany'] = true;
    $_SESSION['username'] = $_POST['username'];
    $_SESSION['password'] = $_POST['password'];
 
	echo '<div id="message">Witamy '. $username .'. <a href="index.php">Powrót</a></div>';
 
	} else
	die("Nie ma takiego użytkownika");
 
} else
	die("Nieprawidłowy użytkownik lub hasło");
 
	mysql_close($connect)
?>
 
[PHP] pobierz, plaintext 

Powinno śmigać a jak nie to napisz, w domu zobaczę to na spokojnie.

Można zarejestrować użytkownika, ale przy logowaniu wyskakuje "Nie ma takiego użytkownika"

W md5 chodzi o to żeby zaszyfrować jakiś tekst w twoim przypadku hasło. Jak zaszyfrujesz hasło podczas rejestracji to w polu hasło w bazie będziesz miał hasło zapisane w md5.
Czyli nie np bolek tylko fskkb724jgfsd wiec jak się potem logujesz to bolek nie będzie równe fskkb724jgfsd tylko w logowaniu musi być podawane fskkb724jgfsd.

czyli mam dodać do kodu md5 ?

$query = mysql_query("SELECT * FROM users WHERE login='$username' && password='md5($password)'");

brakuje też walidacji przed sql_injection (np. mysql_real_escape_string() przy zapytaniu). Sprawdzając też czy jest taki użytkownik z danym hasłem dałbym na końcu LIMIT 1, bo inaczej będzie szukać całą bazę

Poprawiłem tak kod logowania, nie pokazuje żadnego błędu tylko komunikat że nie ma takiego użytkownika (użytkownik na 100% jest w bazie)

[PHP] pobierz, plaintext 
<?php
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password=md5($password);
 
if($username&&$password)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych");
 
	$query = mysql_query('select * FROM users WHERE login="'.$username.'" AND password=md5("'.$password.'")');
	$numrows = mysql_num_rows($query);
 
	if ($numrows!=0)
	{
	$_SESSION['zalogowany'] = true;
    $_SESSION['username'] = $_POST['username'];
    $_SESSION['password'] = $_POST['password'];
 
 
	echo '<div id="message">Witamy '. $username .'. <a href="index.php">Złóż zamówienie</a></div>';
 
	} else
	die("Nie ma takiego użytkownika");
 
} else
	die("Nieprawidłowy użytkownik lub hasło");
 
	mysql_close($connect)
 
?>
[PHP] pobierz, plaintext 

Najpierw zaloguj się do bazy danych przez np. phpMyAdmin i sprawdź czy hasło do danego użytkownika zostało zapisane w md5 czy normalnie takie jak podałeś w formularzu rejestracji. I jeżeli tak jest to zainspiruj się tym:

[PHP] pobierz, plaintext 
<?php
 
	$mysql = mysql_connect('dbhost','dbpass','dbuser') or die (mysql_error());
	$mysql = mysql_connect('dbname') or die (mysql_error());
 
	$login = $_POST['login'];
	$password = $_POST['password'];
	$password = md5($password);
 
	$query = ("SELECT * FROM nazwa_bazy WHERE login='$login' AND password='$password'");
 
	if(mysql_num_rows($query) == 1){
		$_SESSION['zalogowany'] = 1;
	}
 
?>
[PHP] pobierz, plaintext 

Mysl troszeczkę co robisz...
najpierw hasło hashujesz w php:
$password=md5($password);

a potem jeszcze w mysql:
password=md5("'.$password.'")'

Wywal to z mysql. Hashujesz w php i to wystarczy

@bateria zjadłeś mysql_query.

nie rozumiem najpierw w mysql a potem mam wywalić to z mysql.

zrobilem takie cos

kod rejestracji

[PHP] pobierz, plaintext 
<?php
// DEKLARACJA ZMIENNYCH Z FORMULARZA //
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password_confirm = $_POST['password_confirm'];
    $password = md5($password);
	$mail = $_POST['mail'];
 
// sprawdzenie czy zmienne zostaly wprowadzone
 
if($username&&$password&&$mail)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych");
 
	$duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' || mail='$mail'");
	$num_rows = mysql_num_rows($duplicate);
 
	if ($num_rows){
		echo 'Podana nazwa użytkownika lub e-mail jest już w użyciu<br/>';
		echo '<a href="rejestracja.html">Wróc do rejestracji</a><br/>';
		echo '<a href="index.php">Bądź systemu logowania</a>';
		return;
	}else
 
	$insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')";
if (!mysql_query($insertquery))
{
 
	die('Error: ' . mysql_error());
}
	echo 'Dodano użytkownika';
	echo '<a href="index.php">Wróc do systemu logowania</a>';
 
} else
die("Nie można było dodać użytkownika, wypełnij pola poprawnie.");
 
mysql_close($connect)
?>
[PHP] pobierz, plaintext 

a to kod logowania

[PHP] pobierz, plaintext 
<?php
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password=md5($password);
 
if($username && $password)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych");
 
	$query = mysql_query('select * FROM users WHERE login = "'.$username.'" AND password=md5("'.$password.'")');
	$numrows = mysql_num_rows($query);
 
	if ($numrows!=0)
	{
	$_SESSION['zalogowany'] = true;
    $_SESSION['username'] = $_POST['username'];
    $_SESSION['password'] = $_POST['password'];
 
 
	echo '<div id="message">Witamy '. $username .'. <a href="index.php">Złóż zamówienie</a></div>';
 
	} else
	die("Nie ma takiego użytkownika");
 
} else
	die("Nieprawidłowy użytkownik lub hasło");
 
	mysql_close($connect)
 
?>
[PHP] pobierz, plaintext 

W myphpadmin pokazuje juz kasło po md5

Po próbie zalogowania hasłem jak przy rejestracji pokazuje że nie ma takiego użytkownika, gdy wpisuje hasło takie jak po md5 (biore je z bazy) to sie loguje.

NIkt ci nigdzie nie kazał robić md5 na poziomie zapytania.
md5 kazano ci robić w php i tę wartość wkładać do zapytania.

powinienem pozostawić

[PHP] pobierz, plaintext 
$query = mysql_query('select * FROM users WHERE login = "'.$username.'" AND password=md5("'.$password.'")');
[PHP] pobierz, plaintext 

a w deklarowanych zmiennych powinienem mieć

[PHP] pobierz, plaintext 
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password = md5($password);
[PHP] pobierz, plaintext 

W rejestracji wysyłasz hasło do bazy danych ale proces kodowania do md5 nie przebiega za pomocą funkcji w bazie danych tylko w skrypcie, więc wysyłasz już zakodowane hasło. Natomiast w pliku logowania gdy wpiszesz hasło do pola $_POST zostanie ono zakodowane do md5 i porównane z zakodowanym hasłem które zostanie pobrane z bazy danych.

A więc w rejestracji zmienne deklarujesz w ten sposób:

[PHP] pobierz, plaintext 
$username = $_POST['username'];
$password = $_POST['password'];
$password_confirm = $_POST['password_confirm'];
$password = md5($password);
$mail = $_POST['mail'];
[PHP] pobierz, plaintext 

Logowanie:

[PHP] pobierz, plaintext 
$username = $_POST['username'];
$password = $_POST['password'];
$password = md5($password);
[PHP] pobierz, plaintext 

I query w logowaniu:

[PHP] pobierz, plaintext 
$query = mysql_query("SELECT * FROM nazwa_bazy WHERE login='$login' AND password='$password'");
[PHP] pobierz, plaintext 

I teraz musisz sprawdzić jaka ilość wierszy zwróci to zapytanie, jeżeli 1 tworzy sesje i jesteś zalogowany.

Poprawki naniesione i czy nie mogę w ten sposób sprawdzić czy użytkownik jest zalogowany ?

[PHP] pobierz, plaintext 
<?php
$username = $_POST['username'];
$password = $_POST['password'];
$password = md5($password);
 
if($username && $password)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych");
 
	$query = mysql_query("select * FROM users WHERE login='$username' AND password='$password'");
	$numrows = mysql_num_rows($query);
 
	if ($numrows!=0)
	{
	$_SESSION['zalogowany'] = true;
    $_SESSION['username'] = $_POST['username'];
    $_SESSION['password'] = $_POST['password'];
 
 
	echo '<div id="message">Witamy '. $username .'. <a href="index.php">Złóż zamówienie</a></div>';
 
	} else
	die("Nie ma takiego użytkownika");
 
} else
	die("Nieprawidłowy użytkownik lub hasło");
 
	mysql_close($connect)
 
?>
[PHP] pobierz, plaintext 

Oczywiście że możesz a nawet było by wskazane.
Jeżeli pomogłem kliknij ikonkę 'POMÓGŁ'

@Bateria coś nadal jest nie tak z kodem w loginie ponieważ rejestracji ładnie szyfruje hasło (sprawdzałem w phpmyadnim), ale podczas logowania nie znajduje użytkownika nawet po wpisanym haśle zaszyfrowanym (wyciągnietym z bazy)

jakiej wielkości masz pole w bazie danych w którym przechowujesz hasło

var 20

zmień na char (100)

i to bylo to wszystko działa. Dziękuję za pomoc

Raczej na varchar(32) a jeszcze lepiej na char(32) - md5 zawsze zwraca 32 znaki

MD5 (zwłaszcza bez soli) nie jest już bezpieczną metodą przechowywania haseł i już jej się nie powinno stosować. Najlepiej jakby hasło było przechowywane za pomocą SHA512 z solą unikalną dla każdego użytkownika. Można to zrealizować tak:

[PHP] pobierz, plaintext 
hash_hmac('sha512', $password_plaintext, $salt);
[PHP] pobierz, plaintext 

ciąg ma długość 128 znaków, czyli musi być w polu char(128)

Logowanie wygląda tak, że zadajesz zapytanie select wyszukujące po nazwie użytkownika (nie możesz od razu sprawdzać hasła bo żeby je dobrze wygenerować musisz mieć salt).

1. Może się wydawać to nadmiarowe, ale jak ktoś przełamie zabezpieczenia (nawet nie poprzez Twój błąd tylko kogoś innego) i dostanie twoją bazę danych w swoje ręce to takie zabezpieczenie będzie się wydawać o wiele mniej nadmiarowe. W idealnym świecie każdy ma osobne hasło do każdego serwisu, a hasło jest złożone z losowych znaków o dużych i małych literach. W rzeczywistości hasła użytkowników są o wiele bardziej słownikowe.
2. To że hash jest taki długi, nie powoduje że jest znacząco wolniejszy.