databaser - registrering side + login side + password encryption hjælp! - Udvikleren.dk

Tags: databaser

Bruger #16017 @ 22.07.10 14:14

Jeg har siddet i mange timer nu, og har fulgt adskillige tutorials meget nøje, men det vil bare ikke virke.

Jeg har en side med registreringsform og login form.

Den hedder index.php og ser således ud:

Kode

<form method="post" action="insert.php">
 <br />Brugernavn <input type="text" name="brugernavn">
 <br />Password <input type="password" name="password">
 <br /><input type="submit">
</form>

<form method="post" action="login.php">
 <br /><h1>LOGIN</h1>
 <br />Brugernavn <input type="text" name="brugernavn">
 <br />Password <input type="password" name="password">
 <br /><input type="submit" name="submit">
</form>

Lad mig så vise jer "insert.php"

Kode

$brugernavn = $_POST[brugernavn];
$password = md5($_POST[password]);

$sql = "INSERT INTO brugere (id, brugernavn, password)
VALUES
(NULL, '$brugernavn', '$password')";
mysql_query($sql);

Og nu til "login.php"

Kode


$password = md5($_POST['password']);
$brugernavn = $_POST['brugernavn'];

$check = "SELECT * FROM brugere WHERE brugernavn = 
'$brugernavn' and password = '$password'";

$result = mysql_query($check);

if (mysql_num_rows($result) != 1) {
echo "bad login"; }

else {
echo "Login succes";
}

Og jeg får altid svaret "bad login" når jeg prøver at logge ind.

Hvis jeg undlader at kryptere med "md5()" virker det, men jeg vil gerne kryptere det.

Kan nogen forklare mig hvad jeg gør forkert??

På forhånd tak

Bruger #15947 @ 22.07.10 15:07

Umiddelbart vil jeg mene, at fejlen kunne lige i dine SQL-sætninger. Det ser ud til, at du blot indsætter værdierne "$brugernavn" og "$password" i databasen - altså ikke variablerne. For at gøre dette, vil jeg mene du skal rette dine SQL-sætninger til det følgende:

Kode

$brugernavn = $_POST[brugernavn];
$password = md5($_POST[password]);

$sql = "INSERT INTO brugere (id, brugernavn, password)
VALUES
(NULL, '".$brugernavn."', '".$password."')";

Kode


$password = md5($_POST['password']);
$brugernavn = $_POST['brugernavn'];

$check = "SELECT * FROM brugere WHERE brugernavn = 
'".$brugernavn."' and password = '".$password."'";

Endvidere mangler du at beskytte dig mod SQL-injections

brug evt. mysql_real_escape_string rundt om dine $_POSTs:

Kode

$brugernavn = mysql_real_escape_string($_POST[brugernavn]);

Da du laver en hash af dit password inden det bliver smidt ind i SQL-sætningen, burde du ikke behøve at escape det.

Indlæg senest redigeret d. 22.07.2010 15:08 af Bruger #15947

Bruger #16017 @ 22.07.10 16:25

Nu har jeg gjort alt hvad du sagde, men det havde desværre ingen effekt..

Ellers tak

Andre ideer???

Bruger #10216 @ 23.07.10 00:27

4.283

Her er lidt du kan analysere på. Det er ikke testet, men burde dog virke.

PHP kode

 <?php
 // insert.php
 
 if(isset($_POST['submit'])) {
     $username = $_POST['brugernavn'];  // one langauge, not multiple. English is recommend due to nature of PHP.
     $password = md5($_POST['password']);
     
     $sql = 'SELECT * FROM brugere WHERE brugernavn = \''.$username.'\' and password = \''.$password.'\'';
     if($query = mysql_query($sql)) {
         if(mysql_num_rows($query) > 0) {
             die('User already exists');
         }
     } else {
         die("SQL query failed");
     }
     
     $sql = 'INSERT INTO brugere (id, brugernavn, password) VALUES (\''.$username.'\', \''.$password.'\')';
     if(mysql_query($sql)) {
         die('User created');
     } else {
         die("SQL query failed");
     }
 }
 ?>
 
 <form method="post" action="insert.php">
  <br />Brugernavn <input type="text" name="brugernavn">
  <br />Password <input type="password" name="password">
  <br /><input type="submit" name="submit">
 </form>

PHP kode

 <?php
 // login.php
 
 if(isset($_POST['submit'])) {
     $username = $_POST['brugernavn']; // one langauge, not multiple. English is recommend due to nature of PHP.
     $password = md5($_POST['password']);
     
     $sql = 'SELECT * FROM brugere WHERE brugernavn = \''.$username.'\' and password = \''.$password.'\'';
     
     if($query = mysql_query($sql)) {
         if($result = mysql_fetch_assoc($query)) {
             if($result['brugernavn'] == $username && $result['password'] == $password) {
                 die("Login succes");
             } else {
                 die("bad login");
             }
         } else {
             die("bad login");
         }
     } else {
         die("SQL query failed");
     }
 }
 ?>
 
 <form method="post" action="login.php">
  <br /><h1>LOGIN</h1>
  <br />Brugernavn <input type="text" name="brugernavn">
  <br />Password <input type="password" name="password">
  <br /><input type="submit" name="submit">
 </form>

Bruger #13559 @ 23.07.10 08:18

198

Hvordan er din databasetabel defineret? Dit passwordfelt skal have plads til 32 karakterer da md5-funktionen returnerer en streng på 32 karakterer. Så hvis du f.eks. har defineret dit felt som varchar(20) vil du aldrig kunne logge ind, når du bruger md5, da de 12 sidste karakterer i md5-hashen ikke bliver gemt i databasen...

Bruger #16017 @ 24.07.10 21:58

Tak for hjælpen allesammen.

Jeg har løst problemet og ja den var sat til VARCHAR 16 istedet for 32..

Tak

Indlæg senest redigeret d. 24.07.2010 21:58 af Bruger #16017

registrering side + login side + password encryption hjælp!

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler