Witam, napisałem tak na szybko skrypt rejestracji na stronę. Jednak nie wiem czemu instrukcja wykonuje się nie tak jak chcę ;/
Wszystkie pola wypełniam zgodnie z kryteriami z preg_match a i tak wyskakuje mi komunikat z else'a ;///
Tutaj formularz w html:

[HTML] pobierz, plaintext 
Wypełnij poniższy formularz, aby się zarejestrować.<br/>
Pamiętaj, wypełniając formularz rejestracyjny wyrażasz zgodę na przetwarzanie twoich danych osobistych.
<table style="text-align: right; margin-left: 20px;">
<form method="post" action="zarejestruj.php">
<tr><td></td><td>* Pola obowiązkowe</td></tr>
<tr>
<td>Nazwa użytkownika*:</td> 	<td><input type="text" name="login"/></td>
</tr>
<tr>
<td>Hasło*: </td>				<td><input type="password" name="password"/></td>
</tr>
<tr>
<td>Powtórz hasło*: </td>		<td><input type="password" name="password_rep"></td>
</tr>
<tr>
<td>E-mail*: </td>				<td><input type="text" name="email"></td>
</tr>
<tr>
<td>Powtórz e-mail*: </td>				<td><input type="text" name="email_rep"></td>
</tr>
<tr>
<td></td>						<td><input type="submit" value="Zarejestruj się"></td>
</tr>
</form>
</table>
[HTML] pobierz, plaintext 

A tutaj skrypt rejestracji:

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$password = $_POST['password'];
	$password = md5($password);
$password_rep = $_POST['password_rep'];
	$password_rep = md5($password_rep);
$email = $_POST['email'];
$email_rep = $_POST['email_rep'];
 
if(	!empty($login) 
	&& 
	!empty($password)
	&&
	!empty($password_rep)
	&& 
	!empty($email) 
	&& 
	!empty($email_rep)
	) 		{
	if(
		preg_match('@^[a-z0-9]{6,12}$@',$login)
		&&
		preg_match('!^[a-z0-9]{6,14}$!',$password)
		&&
		preg_match('!^[a-z0-9]{3,20}@[a-z0-9]{2,8}.[a-z]{2,5}$!',$email)) {
 
	$db = mysql_connect('localhost','root','') or die('Nie udało się połączyć z serwerem :(');
	$db = mysql_select_db('uzytkownicy');
 
	$query = mysql_query("INSERT INTO uzytkownicy (login, password, email) VALUES('$login','$password','$email')") or die('Nie udało się umieścić values w tabeli');
 
	} else {
		echo('Nie udało mi się Ciebie zarejestrować. <br/> Sprawdź czy poprawnie wypełniłeś wszystkie pola.');
	}
	} else {
		echo('Wypełnij wszystkie pola !');
	}
?>
[PHP] pobierz, plaintext 

Z góry dziękuję za pomoc

No a przetestowałeś po kolei każdy z "preg"?
Przez który nie przechodzi?

Przetestowałem usuwając po jednym aż nie zostało nic z tych preg i działało Więc to na pewno przez preg ale nie wiem dokładnie co zrobiłem źle ;/

To nie usuwaj wszystkie tylko po jednym...
No chyba, że wszystkie są złe...

Ok, sprawdziłem i wyszło na to, że nie przechodzi przez preg_match, który sprawdza hasło ;d A wpisuję na przykład maslomaslo1 ; d

Chociaż nie pamiętam akurat co robią te wykrzykniki (myślałem, że to przez to) to i tak działa.
http://www.functions-online.com/preg_match.html

Druga sprawa to czemu ograniczasz znaki, które można użyć w haśle?
Jedyne co jest słuszne to sprawdzenie długości hasła (żeby nie było zbyt krótkie).
Druga sprawa hasła się nie zapisuje w jawnej postaci (to nie Allegro) tylko się tworzy hash (md5 i sha1 z tych takich podstawowych).

markonix, to czemu u mnie nie działa ? Dziwne ;((

[PHP] pobierz, plaintext 
$password = $_POST['password'];
	$password = md5($password);
[PHP] pobierz, plaintext 

Przecież jest md5...

Trudno żeby działało, skoro generujesz md5 a sprawdzasz czy ma 14 znaków. Poza tym źle się do tego zabrałeś. Nie sprawdzasz czy formularz został wysłany, skoro używasz md5 to sprawdzanie hasła jest zbędne, no i nie sądzę że używanie pregów do sprawdzania długości ciągu jest dobre. Nie sprawdzasz też czy pola istnieją oraz jakiego są typu. I nie przepuści Ci wszytkich adresów email, chociaż są poprawne.

[PHP] pobierz, plaintext 
if(	isset($login) 
	&& 
	isset($password)
	&&
	isset($password_rep)
	&& 
	isset($email) 
	&& 
	isset($email_rep)
	) 
[PHP] pobierz, plaintext 

Tak lepiej? Skoro nie bardzo da się to zrobić pregami to może coś zasugerujecie?

Nie, bo nie sprawdziłeś czy formularz został wysłany. Zlicz znaki np strlen, haszuj hasło md5/sha1 ale nie sprawdzaj ile ma znaków bo zawsze będzie mieć tyle samo 32(md5) lub 40(sha1). Popraw walidację adresu email, bo co z tymi które pochodzą z subdomen? cokolwiek.cos@cos.zxc.pl

A jak sprawdzić czy formularz został wysłany? Myślałem, że sprawdzenie, czy istnieją dane pola w tablicy post jest jednoznaczne ze sprawdzeniem istnienia wysłanego formularza : O

O już działa wszystko. !*!, dziękuję, że mi to wyjaśniłeś Zapomniałem, że shashowałem hasło przed sprawdzeniem preg_match Wystarczyło przesunąć $password = md5($password) na koniec skryptu przed wprowadzeniem danych do bazy

Po co Ty sprawdzasz te hasło przez pregi? Wywal to,bo skoro je haszujesz, to i tak ma tylko [a-z0-9] pregi nie są od liczenia ilości znaków, a !@#$%^&*( są wręcz wskazane w haśle. Formularz sprawdzasz przez $_POST['tu_nazwa_inputa_zformularza_ktory_wysyla'];

Ehh nie zrozumiałeś ostatniego posta ;D Teraz te pregi nie sprawdzają zhashowanego hasła tylko te hasło, które zostało oryginalnie wprowadzone do inputa. Ale skoro to nie jest dobre rozwiązanie to jak sprawdzić ilość znaków w prawdziwym haśle (jeszcze nie zhashowanym) ?

Już Ci odpowiedziałem na to pytanie wyżej.

W takim razie coś takiego "ujdzie" ?

[PHP] pobierz, plaintext 
$strlen_haslo = strlen($password);
 
if(
	preg_match('@^[a-z0-9]{6,12}$@',$login)
	&&
	$strlen_haslo > 6
	&&
	$password == $password_rep
	&&
	preg_match('/^[a-z0-9]{3,20}@[a-z0-9]{2,8}.[a-z]{2,5}$/',$email)
	&&
	$email == $email_rep) {
[PHP] pobierz, plaintext 

Napisz to od nowa bo jeżeli to nie robisz tylko dla treningu to userbility tego kuleje.
Czemu?
Walisz całą weryfikacje do jednego warunku - czy ktoś wpiszę zły e-mail albo za krótkie hasło to będzie mu się wyświetlał ten sam błąd.
Jak lepiej?
Pomijając rzucanie wyjątków itp. najprostszy sposób to tablica $errors i taki system:

[PHP] pobierz, plaintext 
if ($strlen_haslo < 6)
$errors[] = 'Zbyt krótkie hasło';
if (KOLEJNY WARUNEK)
$errors[] = 'KOLEJNY BŁĄD';
 
if (count($errors))
// wyświetl błędy
else
// dokonaj rejestracji
[PHP] pobierz, plaintext 

Potem count i foreach, którym wyświetlisz wszystkie błędy (np. w akapitach z klasą error).

Do walidacji e-mail stosuj filter_var, a nie wyrażeń regularnych.

Markonix, dzięki za pomoc. Tobie także, !*!
Już wszystko działa jak należy. YEAH

Niczego nie zrozumiałeś. Ujdzie, ale to nie znaczy że jest dobrze, przeciwnie.

Wiem, że nie jest tak dobrze, dlatego napisałem wszystko od nowa tak jak napisał markonix ^^
Tutaj skrypt:

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$password = $_POST['password'];
$password_rep = $_POST['password_rep'];
$email = $_POST['email'];
$email_rep = $_POST['email_rep'];
 
			$db = mysql_connect('localhost','root','') or die('Nie udało się połączyć z serwerem :(');
			$db = mysql_select_db('uzytkownicy');
 
$sprawdz_login = mysql_fetch_array(mysql_query("select count(*) from uzytkownicy where login = '$login' limit 1"));
$sprawdz_email = mysql_fetch_array(mysql_query("select count(*) from uzytkownicy where email = '$email' limit 1"));
 
if(	!empty($login) 
	&& 
	!empty($password)
	&&
	!empty($password_rep)
	&& 
	!empty($email) 
	&& 
	!empty($email_rep)
	) 		{
		if($sprawdz_login[0] >= 1) {
		$errors .= 'Ta nazwa użytkownika jest już zajęta<br/>';}
		if($sprawdz_email[0] >= 1) {
		$errors .= 'Taki email jest już zajęty<br/>';}
		if(strlen($password) < 6) {
		$errors .= 'Twoje hasło jest za krótkie<br/>';}
		if(strlen($login) < 6){
		$errors .= 'Twój login jest za krótki<br/>';}
		if(strlen($login) > 14) {
		$errors .= 'Twój login jest za długi<br/>';}
		if(!preg_match('/[a-z]/',$login)){
		$errors .= 'Twój login musi zawierać litery<br/>';}
		if($password !== $password_rep) {
		$errors .= 'Hasła się nie zgadzają<br/>';}
		if($email !== $email_rep) {
		$errors .= 'E-maile się nie zgadzają<br/>';}
 
		if (count($errors)) {
			echo('Rejestracja nie powiodła się. Wystąpiły następujące błędy: <br/>'.$errors);
		} else {
			$password = md5($password);
			$password_rep = md5($password_rep);
			$query = mysql_query("INSERT INTO uzytkownicy (login, haslo, email) VALUES('$login','$password','$email')") or die('Nie udało się umieścić values w tabeli');	
		} 
} else {
	echo('Rejestracja nie powiodła się. Wystąpiły następujące błędy: <br/>Wypełnij wszystkie pola !');
} ?>
[PHP] pobierz, plaintext 

Może nie jest idealnie ale ważne, że działa. Akurat na tym chciałem się skupić, ponieważ jest to mój pierwszy skrypt rejestracji

Prawie, sprawdź czy formularz został wysłany i zobacz jakie są różnice między empty() a isset(), sprawdzaj też czy zmienne to stringi, a i nie musisz robić połączenia na początku z bazą, rób je np. gdy login zostaje przesłany. Sprawdzaj to co jest potrzebne w danym momencie. No i teraz nie sprawdzasz czy email jest poprawny?

Znaczy się tak, to połączenie musiałem dać na górę bo na górze wyciągam z bazy rekordy dotyczące emailu i loginu, aby potem je sprawdzić w ifach.
Muszę jeszcze poczytać o filter_var i się zabiorę za dopracowywanie skryptu Robię jeszcze dużo błędów ale jestem zadowolony, że wgl działa "Bawię się" w programowanie w php od około miesiąca więc nie spodziewam się od razu bezbłędnych skryptów

Wiem tyle, że funkcją empty() sprawdzam czy pole jest puste a funkcją isset(), czy dane pole istnieje. Nie wiem, chyba jestem jakimś tumanem ale nie wiem jak sprawdzić czy formularz został wysłany

Po co linia:

[PHP] pobierz, plaintext 
$password_rep = md5($password_rep);
[PHP] pobierz, plaintext 

?

Errory łączysz jako stringi ale propozycja z tablicą jest bardziej elastyczna.
Potem błędy możesz wyświetlić w dowolnej postaci (najpierw po enterach ale potem na pewno ktoś by wolał je wymienić od myślników albo jakieś divy).
Zamiast dawać wszędzie <br /> wystarczy implode.

Tym system sprawdzaj też czy pola są puste w takim schemacie.

[PHP] pobierz, plaintext 
if (CZY PUSTY)
$errors[] = 'Jest pusty';
else if (CZY ZA KRÓTKI)
$errors[] = 'Za krótki';
[PHP] pobierz, plaintext 

Dzięki temu nie wyświetlą się 2 błędy, które się pokrywają.

Żeby sprawdzić czy formularz został wysłany wystarczy isset na dowolnym polu z tego formularza ponieważ on zawsze daje true gdy formularz zostanie wysłany nawet gdy go nie wypełnimy. Ładniej można dać input z polem ukrytym.

[HTML] pobierz, plaintext 
<input type="hidden" name="action" value="add_user" />
[HTML] pobierz, plaintext 

i rozpocząć skrypt od sprawdzenia czy $_POST['action'] == 'add_user.

Próbowałem już sposobu z tablicą ale nie mogłem wyświetlić na końcu całości bez tej stryktury tabeli.
Wyglądało to tak:
Array ( errors[0] => Hasło jest za krótkie
Coś w tym stylu :/

A wyglądało to mniej więcej tak:

if ($strlen_haslo < 6) {
$errors[] = 'Zbyt krótkie hasło';}
if ($strlen_login < 6) {
$errors[] = 'Zbyt krótki login';}

if (count($errors)) {
print_r($errors);
}
else {
}

[PHP] pobierz, plaintext 
foreach ($erorrs as $error) {
echo '<p class="error">'. $error .'</p>';
}
[PHP] pobierz, plaintext 

Nadaj w css jakieś ostylowanie dla kasy error, na początek wystarczy czerwony kolor.

md5 na obecne standardy jest uznawany za słaby algorytm hashujący i ma dość rozbudowaną bazę hashy, więc nie należy go stosować

https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet

zainteresuj się raczej PHPass używanym przez wordpress, phpbb3 i inne duże skrypty

Pokaż mi jak "łamiesz" md5.

Jak zapewne wiesz, istnieją strony, które mają duże bazy danych i zawierają rozkodowane hashe md5, gdy user ma proste hasło, to zapewne znajdzie się w tej bazie.
Sam byłem zaskoczony, kiedy moje hasło składające się z ośmiu znaków z cyfrą, bez problemu odkodowałem za pomocą jednej z takich stron.

Ale w przypadku metody 'salt' szczególnie wewnątrz hasła bądź na początku-końcu, jest to o wiele bezpieczniejsze wyjście niż samo md5.

Dokładniej rzecz ujmując MD5 jest algorytmem słabym pod względem kryptograficznym, oznacza to że istnieje metoda szybsza niż brute-force by dostać plaintext hasha.

Niemniej jednak nie jest to istotą tego dlaczego używać się MD5 nie powinno.

Należy zwrócić uwagę na kontekst wykorzystania MD5. W tym przypadku do bezpiecznego przechowywania haseł, tak by bardzo ciężko było uzyskać tekst jawny hasła. Jest to pytanie kompleksowe i wieloaspektowe.

Kilka powodów dlaczego md5 nie jest bezpieczne:

1. istnieją strony np. http://www.freerainbowtables.com/ które w dość prosty sposób potrafią znaleźć jawny tekst niektórych haseł
2. ludzie używają w większości haseł o limitowanej długości co zmniejsza bazę wszystkich możliwych haseł
3. MD5 jest uniwersalny tj. hasło asd zawsze będzie miało hash taki sam, co jest wadą w przypadku przechowywania haseł bo wystarczy że ktoś zamieści taki hash z jawnym tekstem i jest problem, w przechowywaniu haseł chciało by się mieć pod tym względem jak najmniejszą uniwersalność.
4. MD5 jest stosunkowo szybkim i tanim do wykonania hashem, co ułatwia ataki brute-force. Hash przechowujący hasło powinien być jak najdroższy w rozsądnych ramach do wykonania. Należy do tego dodać podwajanie się liczby tranzystorów i mocy obliczeniowej za tym idącej.
5. Przeciętny użytkownik internetu ma hasło słownikowe, krótkie, łatwe do zapamiętania, co ułatwia udany atak na MD5.

Tak jak wspomniałem na wstępie, tu nie chodzi o to czy coś się złamie czy nie złamie, tylko czy spełni swoją funkcję w danym kontekście jej wykorzystania. MD5 nie spełnia swojej funkcji jako zabezpieczenie przed poznaniem tekstu jawnego hasła na podstawie hashu.

Zobacz chociażby na:

http://niebezpiecznik.pl/post/filmweb-pl-h...l-uzytkownikow/
https://devilteam.pl/viewtopic.php?f=88&t=6609
https://devilteam.pl/viewforum.php?f=88

Mam nadzieję że poniektórym to otworzy oczy.

Nie odpowiedziałeś. Twoje ogólniki mogą dotyczyć większości metod haszujących. Co z tego że są serwisy które posiadają bazę "słownikową" i po wprowadzeniu MD5 elegancko dostajesz odpowiedź. Skoro w praktycznie każdym serwisie hasze trzymasz jedynie w bazie, dodatkowo solisz je i nigdzie nie udostępniasz bo niby po co.

Nie ma czegoś takiego jak decode_md5(), bo to tylko porównanie istniejących wyników, które trzeba skądś pobrać/wprowadzić. Dlatego nie ma czegoś takiego "o a dzisiaj sobie podpatrzę hasło w md5, bo mi się nudzi". Jeśli koder i admin to ofermy, to już ich problem jak hasze z bazy wyciekną.