php - md5 kryptering driller - Udvikleren.dk - Programmering, webdesign og grafik

Tags: md5 php mysql

<< < 1 2 > >>

Bruger #17072 @ 30.03.12 08:50

Hej
Jeg er igang med at lave et loginsystem til min side, hvor jeg bruger md5 krypterede passwords, men jeg kan ikke rigtig få det til at virke.
Jeg har indsat den krypterede koder manuelt, fordi jeg endnu ikke har lavet brugeroprettelsesfunktionen endnu.
Jeg har derfor lavet en simpel php-fil med en formular:

HTML kode

 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 <html xmlns="http://www.w3.org/1999/xhtml">
 <head>
 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 <title>Untitled Document</title>
 </head>
 
 <body>
 <form name="create" action="password.php" method="post">
 username: <input type="text" name="username" />
 password: <input type="text" name="password" />
 <input type="submit" name="submit" value="create" />
 </form>
 </body>
 </html>

Den fil jeg sender videre til krypterer passwordet og skriver så brugernavn, samt krypteret kode:

PHP kode

 <?php
 $username = $_POST['username'];
 $password = $_POST['password'];
 $encryptedpassword=md5($password);
 
 echo $username . " " . $encryptedpassword;
 ?>

Når jeg så forsøger at logge ind med brugernavn og password, som er det samme som det jeg krypterede får jeg fejl. Her er min login og check filer:
Login:

HTML kode

 <form name="login" id="login" action="http://localhost/eksamensprojekt/inc/auth.php" method="post">
 Brugernavn: <input type="text" name="username" value="username" style="font-size: 10px;" /> Password: <input type="password" name="password" value="password" style="font-size: 10px;" /> <input type="submit" name="submit" value="Log ind" />
 </form>

Check:

PHP kode

 <?php
 session_start();
 
 include 'connect.php';
 
 $username = $_POST['username'];
 $password = $_POST['password'];
 
 $data = mysql_query("SELECT * FROM login" ) or die(mysql_error());
 $info = mysql_fetch_array($data);
 
 $adminusername = $info['username'];
 $adminpassword = md5($password);
 
     if($username == "$adminusername" && $password == "$adminpassword") {
        
        $_SESSION['loggedin'] = "$username"; 
         
         header('Location: ../index.php');
         
     } else {
         
        header('Location: ../index.php?msg=FEJL');
         
     }
 ?>

Er der nogen der kan fortælle mig hvad der er galt?

19 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 30 karma

Sorter efter stemmer Sorter efter dato

Bruger #4487 @ 30.03.12 09:36

1.384

Hvis jeg skulle omskrive din kode, ville jeg gøre noget af det de andre allerede har sagt samt lidt ekstra

PHP kode

 <?php
  session_start();
  
  include 'connect.php';
  
 //Husk at sikrer dine ting imod SQL Injections
  $username = mysql_real_escape_string($_POST['username']);
  $password = mysql_real_escape_string($_POST['password']);
  
 //Lav en query der henter den ønskede bruger i stedet for alle sammen
  $data = mysql_query("SELECT * FROM login WHERE username = '" . $username . "' AND password = '" . md5($password) . "'") or die(mysql_error());
 
  if ($info = mysql_fetch_array($data))
  {
     //Hvis vi er her, så betyder det at der var et match.
     $_SESSION['loggedin'] = 1;
     $_SESSION['username'] = $info['username'];
 
     //redirect til index uden fejl
     $succes = $info['username'] . ' blev logget ind uden problemer';
     header('Location: ../index.php?msg=' . $succes);
  }
  else
  {
     //Redirect til index med fejl besked.
     $error = 'Der blev ikke fundet noget match på brugernavn og kodeord';
     header('Location: ../index.php?msg=' . $error);
  }
  ?>

Jeg har først og fremmest sikret den mod SQL Injections, som er noget værre noget hackerne bruger for at tilgå dine data i databasen. Herefter har jeg ændret dit SQL statement fra at hente alle rækker, til at hente en række, hvor brugernavn og password matcher. Dette behøves nemlig ikke gøres på serversiden.

Til sidst har jeg sat din session loggedin til 1 i stedet og endnu en session med navnet username, der indeholder brugerens brugernavn. loggedin skal nemlig kun bruges som en tjek variabel og ikke andet. Du kan dog ændre det tilbage hvis du syntes

Indlæg senest redigeret d. 30.03.2012 09:44 af Bruger #4487

Bruger #955 @ 30.03.12 10:58

1.624

Fejlen er denne: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''kenneth' at line 1
Kan ikke lige se en anden måde at gøre det på.

Et ældgammelt indianer trick:

echo "SELECT * FROM login WHERE username = '" . $_SESSION['username'];
---
SELECT * FROM login WHERE username = 'kenneth

Så burde fejlen være gennemskuelig.

Bruger #9814 @ 30.03.12 11:21

1.302

Det som Stefan mener er, hvis den skriver at der er syntaxfejl i din SQL, så udskriv altid sql-strengen med echo for at se hvad problemet er. Kunne måske være et manglende ' i dette tilfælde.

Bruger #4487 @ 01.04.12 08:21

1.384

Hej
Jeg sidder og roder med noget af det samme og koden som I har fundet frem til virker bare som det skal . Har bare det samme bøvlede problem med at jeg ikke kan få den til skrive navnet på brugeren, ikke brugernavnet, men det "rigtige" navn som personer har oplyst ved registrering.
Fandt i en løsning på det?

Hvis du henter alle bruger data ud fra din tabel med SQL koden, og din tabel f.eks. har en kolonne der hedder fullname eller lignende, så kan du sætte en session ligesom med brugernavnet, men nu bare hvor du også gemmer fullname værdien.

PHP kode

 <?php
   session_start();
   
   include 'connect.php';
   
  //Husk at sikrer dine ting imod SQL Injections
   $username = mysql_real_escape_string($_POST['username']);
   $password = mysql_real_escape_string($_POST['password']);
   
  //Lav en query der henter den ønskede bruger i stedet for alle sammen
   $data = mysql_query("SELECT * FROM login WHERE username = '" . $username . "' AND password = '" . md5($password) . "'") or die(mysql_error());
  
   if ($info = mysql_fetch_array($data))
   {
      //Hvis vi er her, så betyder det at der var et match.
      $_SESSION['loggedin'] = 1;
      $_SESSION['username'] = $info['username'];
 
      //gem brugerens rigtige navn
      $_SESSION['fullname'] = $info['fullname'];
  
      //redirect til index uden fejl
      $succes = $info['username'] . ' blev logget ind uden problemer';
      header('Location: ../index.php?msg=' . $succes);
   }
   else
   {
      //Redirect til index med fejl besked.
      $error = 'Der blev ikke fundet noget match på brugernavn og kodeord';
      header('Location: ../index.php?msg=' . $error);
   }
   ?>

Bemærk at du skal have en kolonne med brugerens rigtige navn, og hvis ikke din kolonne hedder fullname, kan du bare ændre dette, til hvad den nu hedder. Bemærk også at jeg har i koden har ændret den til også at lave værdien af 'fullname' til en session, som man kan bruge over hele siden nu. Du kan herefter bruge den ved at udskrive værdien i session således

PHP kode

 //Udskriv rigtige navn
 echo $_SESSION['fullname'];

Bruger #9814 @ 30.03.12 09:12

1.302

Skal din if i linje 15 ikke være $info['password'] der sammenlignes med $adminpassword? Lige nu sammenligner du vel det indtastede password med md5 værdien af det indtastede.

Indlæg senest redigeret d. 30.03.2012 09:13 af Bruger #9814

Bruger #955 @ 30.03.12 09:14

1.624

Der er en del ting galt her. Hvis du starter med dette, burde du nemt kunne bygge det videre.

Du henter alle oplysninger fra tabellen:

mysql_query("SELECT * FROM login" )

Og sammenligner brugernavn og password, kun på den første række i tabellen.

Du burde nøjes med at hente de oplysninger du skal bruge.

("SELECT NØDVENDIG_INFO FROM login WHERE USERNAME=$username and PASSWORD=".md5($password));

Derefter skal du bare tjekke, at der bliver returneret 1 række. Så ved du der match på brugernavn og password.

Bruger #17072 @ 30.03.12 09:31

152

Øh???
Jeg synes ellers at jeg har bedt den om at værdien af $adminpassword er det jeg har indtastet i password-feltet, omformet til md5, for at kunne sammenligne med databasen.
Hvis det skulle laves korrekt, hvordan skulle det så se ud, og hvorfor?

Bruger #17072 @ 30.03.12 10:07

152

ok. nu virker den del, men nu er problemet så at jeg gerne vil lave det samme med min login-side, som jeg har ændret lidt på.
Min loginside er en del af min menu, og den ser således ud:

PHP kode

 <?php
 if(isset($_SESSION['username'])) {
 ?>
 <form action="http://localhost/eksamensprojekt/inc/logout.php">
 Velkommen <?php echo $adminname; ?>
     <input type="submit" value="Log ud"/>
 </form>
 <?php
 } else {
 ?>
 <form name="login" id="login" action="http://localhost/eksamensprojekt/inc/auth.php" method="post">
 Brugernavn: <input type="text" name="username" value="username" style="font-size: 10px;" /> Password: <input type="password" name="password" value="password" style="font-size: 10px;" /> <input type="submit" name="submit" value="Log ind" /></form>
 <?php
 }
 ?>

Hvordan laver jeg det så om så den henter indholdet fra feltet name i samme tabel og derved skriver "Velkommen [brugerens navn] og ved siden af laver en logud knap.

Bruger #9814 @ 30.03.12 10:12

1.302

Det er fint at det virker og fin løsning fra Martin :-) Men det er vigtigt at du forstår hvorfor det virker, da der var mange huller i din første løsning.

Ikke at jeg skal spille "smart", men det er vigtig - specielt når det nu er et eksamensprojekt du er igang med at lave ;-)

Gem brugernavnet i en session variabel og udskriv den på sædvanligvis ved siden af din knap.

Bruger #17072 @ 30.03.12 10:29

152

Jeg har skam forstået hvad hans rettelser gør og hvordan det virker, men lige det med at jeg skal have det navn der hører til det brugernavn der er lavet session på udskrevet sammen med velkommen, kan jeg ikke lige få kringlet, fordi det er noget med at jeg skal bruge den mysql_query kommando som der også bruges ved login, og så gå ind og vælge det navn der hører til brugernavnet og gemme det i en variabel og derefter udskrive den.

<< < 1 2 > >>

md5 kryptering driller

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler