Forum PHP.pl > [PHP][MYSQL] problem z md5

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP][MYSQL] problem z md5

sokole_oko

8.07.2009, 13:02:56

Mam taki kod który sprawdza login i hasło z tabela user z mysql

[PHP] pobierz, plaintext 
<?php
ob_start();
include("dbinfo.inc.php");
$tb="user";
 
$login=$_POST['login'];
$haslo=$_POST['haslo'];
 
$login = stripslashes($login);
$haslo = stripslashes($haslo);
$login = mysql_real_escape_string($login);
$haslo = mysql_real_escape_string($haslo);
 
$query="SELECT * FROM $tb WHERE login='$login' and haslo=md5('$haslo')";
$wynik=mysql_query($query);
 
$count=mysql_num_rows($wynik);
 
if($count==1){
 
session_register("login");
session_register("haslo");
header("location:login_success.php");
}
else {
echo "$login $haslo";
echo "Błędne hasło";
}
 
ob_end_flush();
?>
[PHP] pobierz, plaintext

a rejestracja użytkowników wygląda w ten sposób

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$haslo = $_POST['haslo'];
$haslo2 = $_POST['haslo2'];
$email = $_POST['email'];
if ($_POST){
if(!empty($login) AND !empty($haslo) AND !empty($haslo2) AND !empty($email)){
if($haslo != $haslo2){
$info .=  'podane hasła są różne<br />';
}else{
if(!ereg("^.+@.+..+$", $email)){
$info .=  'niepoprawny adres e-mail<br />';
}else{
include("dbinfo.inc.php");
$login = $login;
$haslo2 = $haslo;
$email = $email;
$query = "SELECT Login FROM user WHERE Login=$login";
$result = mysql_query($query);
if(@mysql_num_rows($result) > 0){
$info .=  "wybrana nazwa użytkownika($login) jest już zajęta<br />";
}else{
$query = "INSERT INTO user (login,haslo) VALUES ('$login',md5('$haslo2'))";
mysql_query($query);
$info .=  'rejestracja zakończyła się sukcesem<br />';
}
}
}
}else{
$info .= 'uzupełnij wszystkie pola<br />';
}
}
?>
[PHP] pobierz, plaintext

Gdy wpisuje login i hasło krzyczy że login i hasło są złe (wpisuje w postaci normalnej jak i w postaci md5).
Cóż robię źle ?

Pawel_W

8.07.2009, 13:12:32

[PHP] pobierz, plaintext 
<?php
$login = $login;
$haslo2 = $haslo;
$email = $email;
$query = "SELECT Login FROM user WHERE Login=$login";
?>
[PHP] pobierz, plaintext

po co ci $login = $login
a po drugie, stringi bierzemy w ' ', czyli

[PHP] pobierz, plaintext 
<?php
$query = "SELECT Login FROM user WHERE Login='$login'";
?>
[PHP] pobierz, plaintext

sokole_oko

8.07.2009, 13:22:08

Dziękuje pięknie to rozwiązało problem którego jeszcze nie widziałem.
Ale dalej zostaje problem z logowaniem.
Gdy zmieniam

[PHP] pobierz, plaintext 
<?php
$query="SELECT * FROM $tb WHERE login='$login' and haslo=md5('$haslo')";
?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
$query="SELECT * FROM $tb WHERE login='$login' and haslo='$haslo'";
?>
[PHP] pobierz, plaintext

i wpiszę hasło w postaci md5 jest ok.
Cóż dalej myśle.

Pawel_W

8.07.2009, 13:25:18

zasugerowałbym tworzenie md5 po stronie php, i przycinanie go do odpowiedniej długości, np. 20 znaków, ponieważ może to jest problemem

powiedz jaki masz typ pola z hasłem

EDIT:
a może to:

[PHP] pobierz, plaintext 
<?php
$query="SELECT * FROM $tb WHERE login='$login' and haslo=\"md5('$haslo')\"";
?>
[PHP] pobierz, plaintext

pawelpaciorek

8.07.2009, 13:30:05

Cytat(Pawel_W @ 8.07.2009, 14:25:18 )

zasugerowałbym tworzenie md5 po stronie php, i przycinanie go do odpowiedniej długości, np. 20 znaków, ponieważ może to jest problemem

Dokładnie, może w bazie jest za krótkie pole, pamiętaj, że MD5 to standardowo 32 znaki

nmts

8.07.2009, 13:32:06

Cytat

md5('$haslo')

Oznacza, że wysyłasz md5 ciągu '$haslo', a Ty chcesz wysłać to co się kryje pod zmienną więc powinno wyglądać tak:

Cytat

md5($haslo)

sokole_oko

8.07.2009, 13:32:47

pole w tabeli mysql wyglada tak

Haslo varchar(25)

Zmieniłem jak zasugerowałeś ale też nie działa.

Pawel_W

8.07.2009, 13:34:09

no to przerabiaj na md5 po stronie php, daj sobie potem echo tego co powstanie i dopiero wzuc do bazy, nie powinno byc wiecej problemow

pawelpaciorek

8.07.2009, 13:35:44

Cytat(sokole_oko @ 8.07.2009, 14:32:47 )

pole w tabeli mysql wyglada tak

Haslo varchar(25)

Zmieniłem jak zasugerowałeś ale też nie działa.

W takim razie rób MD5 po stronie php i tnij hasha do 25 znaków albo zwiększ w bazie pole na 32 znaki

sokole_oko

8.07.2009, 13:39:06

Dziękuje pięknie zmieniłem na 32 znaki i działa przepięknie.

#luq

8.07.2009, 14:08:34

Sorry ale muszę skomentować, mam nadzieję, że moderatorzy wybaczą

Cytat(Pawel_W @ 8.07.2009, 14:25:18 )

zasugerowałbym tworzenie md5 po stronie php, i przycinanie go do odpowiedniej długości, np. 20 znaków, ponieważ może to jest problemem

Cytat(pawelpaciorek)

W takim razie rób MD5 po stronie php i tnij hasha do 25 znaków albo zwiększ w bazie pole na 32 znaki

Piękna rada ale nie wiem co ona miała dać. Wiecie, że zmniejszacie bezpieczeństwo takim przycinaniem hasha? A tak btw. przycinać można też w zapytaniach SQL`a.

pawelpaciorek

8.07.2009, 14:20:33

Cytat(#luq @ 8.07.2009, 15:08:34 )

Sorry ale muszę skomentować, mam nadzieję, że moderatorzy wybaczą
Piękna rada ale nie wiem co ona miała dać. Wiecie, że zmniejszacie bezpieczeństwo takim przycinaniem hasha? A tak btw. przycinać można też w zapytaniach SQL`a.

To żeby skrypt zaczął działać

Poważnie, to masz rację. W tym wypadku powinno się zwiększy ilość znaków dla danego pola w bazie.

erix

8.07.2009, 17:38:55

Cytat

A tak btw. przycinać można też w zapytaniach SQL`a.

Owszem, ale zważ na to, że jeśli przycinasz w zapytaniu, to AFAIR treść zapytania leci do serwera w całości, a nie po obrobieniu. [;

Więc lepiej przetransportować samego 32-bajtowego hasha niż np. 1000 bajtów i dopiero po stronie DBMS hashować. Totalna głupota zarówno przy demonie działającym w ramach jednego hosta (najczęściej przecież łączy się przez TCP/IP, a z racji ramek protokołu wychodzi więcej danych) jak i na podzielonych - niepotrzebne marnowanie przepustowości sieci wewnętrznej.

#luq

8.07.2009, 21:24:17

Edit: Hm... teraz dopiero zczaiłem o co Ci chodziło, w sumie nie pomyślałem o tym.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.