Forum PHP.pl > MD5 i hasła w bazie

Pomoc - Szukaj - Użytkownicy - Kalendarz

primo

11.09.2004, 08:20:13

Witam,

zachciało mi się przerabiać skrypt, aby hasła w bazie były odczytywane poprzez funkcję MD5. W tym celu poprzez polecenie:

UPDATE `user` SET `userpassword` = MD5(`userpassword`) zmodyfikowałem hasła w bazie. Wziąłem się teraz za przerabianie skryptu i napotkałem problemy.

[PHP] pobierz, plaintext 
<?php
function auth_user($userid, $userpassword) {
   global $default_dbname, $user_tablename;
 
   $link_id = db_connect($default_dbname);
   $query = &#092;"SELECT username FROM $user_tablename 
							 WHERE userid =&#092;".addslashes($_POST['userid']).\"
							 AND userpassword = MD5(&#092;".$_POST['userpassword'].\")\";
 
   $result = mysql_query($query);
   if(!mysql_num_rows($result)) return 0;
   else {
	  $query_data = mysql_fetch_row($result);
	  return $query_data[0];
   }
}
?>
[PHP] pobierz, plaintext

poprawiłem skrypt i zdawać by się mogło, że powinni działać, ale niestety ciągle wyskakuje, iż autoryzacja nieudana. Czy błąd tkwi w tej funkcji, widzi ktoś jakieś niedopatrzenie

Proszę o pomoc, z góry dziękuję.

pozdrawiam

goped

11.09.2004, 08:50:28

dobra, wiem, ze moze nie powinienem pisac jezeli sie nie znam, bo na mysql sie wogole nie znam, ale tu wyglada podejrzanie

[PHP] pobierz, plaintext 
<?php
 
   $query = &#092;"SELECT username FROM $user_tablename 
							 WHERE userid =&#092;".addslashes($_POST['userid']).\"
							 AND userpassword = MD5(&#092;".$_POST['userpassword'].\")\";
?>
[PHP] pobierz, plaintext

jezeli sie przyjrzysz to md5 jest na czerwono, czyli nie uwazane jako funkcja, popatrz na userid. moze sie myle, ale moze powinno wygladac tak

[PHP] pobierz, plaintext 
<?php
 
   $query = &#092;"SELECT username FROM $user_tablename 
							 WHERE userid =&#092;".addslashes($_POST['userid']).\"
							 AND userpassword =&#092;".MD5($_POST['userpassword']);
 
?>
[PHP] pobierz, plaintext

jezeli sie myle to sork, ale tak mi sie zdaje

primo

11.09.2004, 09:07:40

niestety to nie to, ale dzięki za dobre chęci

JOHNY

11.09.2004, 09:27:29

Cytat(primo @ 2004-09-11 09:20:13)

[PHP] pobierz, plaintext 
<?php
function auth_user($userid, $userpassword) {
   global $default_dbname, $user_tablename;
 
   $link_id = db_connect($default_dbname);
   $query = &#092;"SELECT username FROM $user_tablename 
                             WHERE userid =&#092;".addslashes($_POST['userid']).\"
                             AND userpassword = MD5(&#092;".$_POST['userpassword'].\")\";
 
   $result = mysql_query($query);
   if(!mysql_num_rows($result)) return 0;
   else {
      $query_data = mysql_fetch_row($result);
      return $query_data[0];
   }
}
?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
 
function auth_user($userid, $userpassword) {
 global $default_dbname, $user_tablename;
 
 $link_id = db_connect($default_dbname);
 $userpassword = md5(stripslashes($_POST['userpassword']));
   $query = &#092;"SELECT username FROM $user_tablename 
	   WHERE userid =&#092;".addslashes($_POST['userid']).\"
	   AND userpassword = '$userpassword'&#092;";
 
   $result = mysql_query($query);
   if(!mysql_num_rows($result)) return 0;
   else {
	  $query_data = mysql_fetch_row($result);
	  return $query_data[0];
   }
}
?>
[PHP] pobierz, plaintext

goped

11.09.2004, 09:43:37

a to tk moze byc?, tylkko z ciekawosci pytam

primo

11.09.2004, 10:19:20

w wersji numer 1 pokazuje błąd w:

[HTML] pobierz, plaintext 
WHERE userid =\".addslashes($_POST['userid']).\"
[HTML] pobierz, plaintext

natomiast wersja numer 2 nadal niepoprawna autoryzacja.

goped

11.09.2004, 10:28:19

mozecie mi powiedziec jak to jest ze tak moze byc?

[PHP] pobierz, plaintext 
<?php
 
   $query = &#092;"SELECT username FROM $user_tablename 
							 WHERE userid =&#092;".addslashes($_POST['userid']).\"
							 AND userpassword = MD5(&#092;".$_POST['userpassword'].\")\";
 
?>
[PHP] pobierz, plaintext

niemowie ze nie moze tylkoc chcialbym zrozumiec

primo

11.09.2004, 10:52:28

według mnie nie powinno być tu błędu:

[PHP] pobierz, plaintext 
<?php
function auth_user($userid, $userpassword) {
   global $default_dbname, $user_tablename;
 
   $link_id = db_connect($default_dbname);
   $userid = $_POST['userid'];
   $userpassword = $_POST['userpassword'];
   $userpassword = md5($userpassword);
   $query = &#092;"SELECT username FROM $user_tablename 
							 WHERE userid ='$userid'
							 AND userpassword = '$userpassword'&#092;";
 
 
   $result = mysql_query($query);
   if(!mysql_num_rows($result)) return 0;
   else {
	  $query_data = mysql_fetch_row($result);
	  return $query_data[0];
   }
}
?>
[PHP] pobierz, plaintext

zapytanie rozebrane na elementy pierwsze a nadal nie działa. Jeśli dobrze rozumiem to funkcja ta zwraca tylko dwie zmienne userid i userpassword i to jest zwracane w wywołaniach funkcji. O ile się mylę to proszę mnie poprawić.
Tablica $_POST jest tablicą superglobalną i nie trzeba jej oznaczać jako global ?
W takim razie co jest źle

11.09.2004, 10:59:00

hm, wydaje mi sie, ze ostatnio byl podobny problem na forum... sprobuj dac tak :
userid=$userid and userpassword=$userpassword

bela

11.09.2004, 11:32:41

[PHP] pobierz, plaintext 
<?php
 
   $query = &#092;"SELECT username FROM $user_tablename 
                             WHERE userid =&#092;".addslashes($_POST['userid']).\"
                             AND userpassword = MD5('\".$_POST['userpassword'].\"')&#092;";
 
?>
[PHP] pobierz, plaintext

zobacz czy po dodaniu '' działa

JOHNY

11.09.2004, 11:37:21

[PHP] pobierz, plaintext 
<?php
 
   $query = &#092;"SELECT * FROM $user_tablename 
                             WHERE userid ='$userid'
                             AND userpassword = '$userpassword'&#092;";
 
?>
[PHP] pobierz, plaintext

to po pierwsze po drugie zobacz co ci zapisuje do sesji

primo

11.09.2004, 11:37:51

niestety to nie wniosło nic nowego

Majdan

11.09.2004, 11:49:03

Ja tu widzę błąd innego typu, gdyż zmienne przekazujesz, a nie używasz ich w funkcji. Używasz zmiennych w zapytaniu z tablicy $_POST[]. Nie twierdzę, że to jest błąd, bo być może o to Ci chodziło, ale wygląda to dziwnie.

Nie zaszkodzą także cudzysłowy ", albo apostrofy ' w ciągach w zapytaniu.

primo

11.09.2004, 12:34:19

nie kapuję.

co ma wspólnego ta funkcja z tym, że później jest to przekazywane do sesji...

ale wygląda to tak:

[PHP] pobierz, plaintext 
<?php
session_start();
if(!isset($userid)) {
   login_form();
   exit;
}
else {
   session_register(&#092;"userid\", \"userpassword\");
   $username = auth_user($userid, $userpassword);
   if(!$username) {
	  session_unregister(&#092;"userid\");
	  session_unregister(&#092;"userpassword\");
	  echo &#092;"Autoryzacja nieudana. \" .
		   &#092;"Musisz podać poprawny identyfikator użytkownika oraz hasło. \" .
		   &#092;"Jeszcze raz spóbuj się zalogować.<BR>n\";
	  echo &#092;"<A HREF=\"$PHP_SELF\">Logowanie</A><BR>\";
?>
[PHP] pobierz, plaintext

JOHNY

11.09.2004, 12:40:04

[PHP] pobierz, plaintext 
<?
require &#092;"config.php\";
// zapisanie zmiennych do sesji
$pass2 = md5(stripslashes($_POST['haslo']));
   $query2 = &#092;"SELECT * FROM admin WHERE konto_nick='$nick' AND konto_pass='$pass2'\";
   $wynik2 = mysql_query($query2);
   while($row = mysql_fetch_array($wynik2)) {
   $pass=$row['konto_pass'];
}
// check auth
function auth_user($nick, $pass) {
$pass = md5(stripslashes($_POST['haslo']));
   $query = &#092;"SELECT * FROM admin WHERE konto_nick='$nick' AND konto_pass='$pass'\";
   $wynik = mysql_query($query);
 
if (!mysql_num_rows($wynik)) return 0;
  else {
    $query_data = mysql_fetch_row($wynik);
    return $query_data[0];
      }
   }
 
 function login_form() {
 
?>
 
 <CENTER>
    <FORM ACTION=\"index.php\" METHOD=\"POST\">
    <TABLE width=\"184\">
    <TR>
    <TD width=\"86\" align=\"right\" class=\"tekst-black-bold\">UŻYTKOWNIK:</TD>
    <TD width=\"86\"><INPUT TYPE=\"text\" NAME=\"nick\" SIZE=\"10\" class=\"pole\"></TD>
</TR>
<TR>
    <TD align=\"right\" class=\"tekst-black-bold\">HASŁO:</TD>
    <TD><INPUT TYPE=\"password\" NAME=\"haslo\" SIZE=\"10\" class=\"pole\"></TD>
</TR>
<TR>
    <TD align=\"center\"><INPUT TYPE=\"submit\" VALUE=\"\" NAME=\"username\" class=\"zaloguj\"></TD>
    <TD align=\"center\"><INPUT TYPE=\"reset\" VALUE=\"\" class=\"wyczysc\"></TD>
</TR>
</TABLE>
</FORM></CENTER>
<?
}
 
session_start();
if(!isset($_POST['nick']) AND !isset($_POST['pass'])) {
  login_form();
  exit;
}
else {
  session_register(&#092;"nick\", \"pass\");
  $username = auth_user($_SESSION['nick'], $_SESSION['pass']);
  if(!$username) {
session_unregister(&#092;"nick\");
session_unregister(&#092;"pass\");
    echo &#092;"<CENTER><div class=\"tekst-black-bold\">AUTORYZACJA NIEUDANA</div></CENTER>\";
    exit;
  } else
   echo &#092;"<CENTER><div class=\"tekst-black-bold\"><span class=\"naglowek\">$nick</span> WITAMJ, W PANELU ADMINISTRACYJNYM</div></CENTER>\";
}
 
?>
[PHP] pobierz, plaintext

Ja mam tak i u mnie działa

chfast

11.09.2004, 18:00:47

To jeszcze ja spróbuje coś pomóc.
1. Dodaj sobie w skrypcie:

[PHP] pobierz, plaintext 
<?php
 echo 'userid: ', $_POST['userid'];
echo ' userpassword: ', $_POST['userpassword'];
echo ' md5: ', md5( $_POST['userpasswors'];
?>
[PHP] pobierz, plaintext

i sprawdź czy php nie dodaje slashy do tych zmiennych.
2. Dodaj:

[PHP] pobierz, plaintext 
<?php
echo $query;
?>
[PHP] pobierz, plaintext

żeby sprawdzić jak wygląda w rzeczywistości twoje zapytanie.
3. Sprawdź czy wpisy w bazie są poprawne.
4. Jeżeli userid nie jest typu całkowitego (integer) to wartość przekazywana w zapytaniu powinna być ujęta w cudzysłowy. Wartość userpassword też powinna być w cudzysłowiach.

rogrog

11.09.2004, 19:51:04

@goped: obydwie wersje zawierają poprawne odwołania do funkcji z tą różnicą, że:

wersja pierwsza wykorzystuje funkcję wbudowaną w MySql, czyli koduje dane na poziomie sqla

a Twoja wersja wykorzystuje funkcję phpowską

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.