Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[PHP][MYSQL] problem z md5

sokole_oko Zobacz profil	8.07.2009, 13:02:56 Post #1
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.07.2009 Ostrzeżenie: (0%)	Mam taki kod który sprawdza login i hasło z tabela user z mysql [PHP] pobierz, plaintext <?php ob_start(); include("dbinfo.inc.php"); $tb="user"; $login=$_POST['login']; $haslo=$_POST['haslo']; $login = stripslashes($login); $haslo = stripslashes($haslo); $login = mysql_real_escape_string($login); $haslo = mysql_real_escape_string($haslo); $query="SELECT * FROM $tb WHERE login='$login' and haslo=md5('$haslo')"; $wynik=mysql_query($query); $count=mysql_num_rows($wynik); if($count==1){ session_register("login"); session_register("haslo"); header("location:login_success.php"); } else { echo "$login $haslo"; echo "Błędne hasło"; } ob_end_flush(); ?> [PHP] pobierz, plaintext a rejestracja użytkowników wygląda w ten sposób [PHP] pobierz, plaintext <?php $login = $_POST['login']; $haslo = $_POST['haslo']; $haslo2 = $_POST['haslo2']; $email = $_POST['email']; if ($_POST){ if(!empty($login) AND !empty($haslo) AND !empty($haslo2) AND !empty($email)){ if($haslo != $haslo2){ $info .= 'podane hasła są różne<br />'; }else{ if(!ereg("^.+@.+..+$", $email)){ $info .= 'niepoprawny adres e-mail<br />'; }else{ include("dbinfo.inc.php"); $login = $login; $haslo2 = $haslo; $email = $email; $query = "SELECT Login FROM user WHERE Login=$login"; $result = mysql_query($query); if(@mysql_num_rows($result) > 0){ $info .= "wybrana nazwa użytkownika($login) jest już zajęta<br />"; }else{ $query = "INSERT INTO user (login,haslo) VALUES ('$login',md5('$haslo2'))"; mysql_query($query); $info .= 'rejestracja zakończyła się sukcesem<br />'; } } } }else{ $info .= 'uzupełnij wszystkie pola<br />'; } } ?> [PHP] pobierz, plaintext Gdy wpisuje login i hasło krzyczy że login i hasło są złe (wpisuje w postaci normalnej jak i w postaci md5). Cóż robię źle ?

Pawel_W Zobacz profil	8.07.2009, 13:12:32 Post #2
Grupa: Zarejestrowani Postów: 1 675 Pomógł: 286 Dołączył: 15.06.2009 Skąd: Wieliczka Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php $login = $login; $haslo2 = $haslo; $email = $email; $query = "SELECT Login FROM user WHERE Login=$login"; ?> [PHP] pobierz, plaintext po co ci $login = $login a po drugie, stringi bierzemy w ' ', czyli [PHP] pobierz, plaintext <?php $query = "SELECT Login FROM user WHERE Login='$login'"; ?> [PHP] pobierz, plaintext

sokole_oko Zobacz profil	8.07.2009, 13:22:08 Post #3
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.07.2009 Ostrzeżenie: (0%)	Dziękuje pięknie to rozwiązało problem którego jeszcze nie widziałem. Ale dalej zostaje problem z logowaniem. Gdy zmieniam [PHP] pobierz, plaintext <?php $query="SELECT * FROM $tb WHERE login='$login' and haslo=md5('$haslo')"; ?> [PHP] pobierz, plaintext na [PHP] pobierz, plaintext <?php $query="SELECT * FROM $tb WHERE login='$login' and haslo='$haslo'"; ?> [PHP] pobierz, plaintext i wpiszę hasło w postaci md5 jest ok. Cóż dalej myśle.

Pawel_W Zobacz profil	8.07.2009, 13:25:18 Post #4
Grupa: Zarejestrowani Postów: 1 675 Pomógł: 286 Dołączył: 15.06.2009 Skąd: Wieliczka Ostrzeżenie: (0%)	zasugerowałbym tworzenie md5 po stronie php, i przycinanie go do odpowiedniej długości, np. 20 znaków, ponieważ może to jest problemem powiedz jaki masz typ pola z hasłem EDIT: a może to: [PHP] pobierz, plaintext <?php $query="SELECT * FROM $tb WHERE login='$login' and haslo=\"md5('$haslo')\""; ?> [PHP] pobierz, plaintext Ten post edytował Pawel_W 8.07.2009, 13:26:40

pawelpaciorek Zobacz profil	8.07.2009, 13:30:05 Post #5
Grupa: Zarejestrowani Postów: 13 Pomógł: 2 Dołączył: 8.07.2009 Ostrzeżenie: (0%)	Cytat(Pawel_W @ 8.07.2009, 14:25:18 ) zasugerowałbym tworzenie md5 po stronie php, i przycinanie go do odpowiedniej długości, np. 20 znaków, ponieważ może to jest problemem Dokładnie, może w bazie jest za krótkie pole, pamiętaj, że MD5 to standardowo 32 znaki

nmts Zobacz profil	8.07.2009, 13:32:06 Post #6
Grupa: Zarejestrowani Postów: 283 Pomógł: 34 Dołączył: 21.03.2008 Ostrzeżenie: (0%)	Cytat md5('$haslo') Oznacza, że wysyłasz md5 ciągu '$haslo', a Ty chcesz wysłać to co się kryje pod zmienną więc powinno wyglądać tak: Cytat md5($haslo)

sokole_oko Zobacz profil	8.07.2009, 13:32:47 Post #7
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.07.2009 Ostrzeżenie: (0%)	pole w tabeli mysql wyglada tak Haslo varchar(25) Zmieniłem jak zasugerowałeś ale też nie działa.

Pawel_W Zobacz profil	8.07.2009, 13:34:09 Post #8
Grupa: Zarejestrowani Postów: 1 675 Pomógł: 286 Dołączył: 15.06.2009 Skąd: Wieliczka Ostrzeżenie: (0%)	no to przerabiaj na md5 po stronie php, daj sobie potem echo tego co powstanie i dopiero wzuc do bazy, nie powinno byc wiecej problemow

pawelpaciorek Zobacz profil	8.07.2009, 13:35:44 Post #9
Grupa: Zarejestrowani Postów: 13 Pomógł: 2 Dołączył: 8.07.2009 Ostrzeżenie: (0%)	Cytat(sokole_oko @ 8.07.2009, 14:32:47 ) pole w tabeli mysql wyglada tak Haslo varchar(25) Zmieniłem jak zasugerowałeś ale też nie działa. W takim razie rób MD5 po stronie php i tnij hasha do 25 znaków albo zwiększ w bazie pole na 32 znaki

sokole_oko Zobacz profil	8.07.2009, 13:39:06 Post #10
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.07.2009 Ostrzeżenie: (0%)	Dziękuje pięknie zmieniłem na 32 znaki i działa przepięknie.

#luq Zobacz profil	8.07.2009, 14:08:34 Post #11
Grupa: Zarejestrowani Postów: 589 Pomógł: 91 Dołączył: 22.05.2008 Skąd: Gliwice Ostrzeżenie: (0%)	Sorry ale muszę skomentować, mam nadzieję, że moderatorzy wybaczą Cytat(Pawel_W @ 8.07.2009, 14:25:18 ) zasugerowałbym tworzenie md5 po stronie php, i przycinanie go do odpowiedniej długości, np. 20 znaków, ponieważ może to jest problemem Cytat(pawelpaciorek) W takim razie rób MD5 po stronie php i tnij hasha do 25 znaków albo zwiększ w bazie pole na 32 znaki Piękna rada ale nie wiem co ona miała dać. Wiecie, że zmniejszacie bezpieczeństwo takim przycinaniem hasha? A tak btw. przycinać można też w zapytaniach SQL`a. Ten post edytował #luq 8.07.2009, 14:09:26

pawelpaciorek Zobacz profil	8.07.2009, 14:20:33 Post #12
Grupa: Zarejestrowani Postów: 13 Pomógł: 2 Dołączył: 8.07.2009 Ostrzeżenie: (0%)	Cytat(#luq @ 8.07.2009, 15:08:34 ) Sorry ale muszę skomentować, mam nadzieję, że moderatorzy wybaczą Piękna rada ale nie wiem co ona miała dać. Wiecie, że zmniejszacie bezpieczeństwo takim przycinaniem hasha? A tak btw. przycinać można też w zapytaniach SQL`a. To żeby skrypt zaczął działać (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Poważnie, to masz rację. W tym wypadku powinno się zwiększy ilość znaków dla danego pola w bazie.

erix Zobacz profil	8.07.2009, 17:38:55 Post #13
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat A tak btw. przycinać można też w zapytaniach SQL`a. Owszem, ale zważ na to, że jeśli przycinasz w zapytaniu, to AFAIR treść zapytania leci do serwera w całości, a nie po obrobieniu. [; Więc lepiej przetransportować samego 32-bajtowego hasha niż np. 1000 bajtów i dopiero po stronie DBMS hashować. Totalna głupota zarówno przy demonie działającym w ramach jednego hosta (najczęściej przecież łączy się przez TCP/IP, a z racji ramek protokołu wychodzi więcej danych) jak i na podzielonych - niepotrzebne marnowanie przepustowości sieci wewnętrznej.

#luq Zobacz profil	8.07.2009, 21:24:17 Post #14
Grupa: Zarejestrowani Postów: 589 Pomógł: 91 Dołączył: 22.05.2008 Skąd: Gliwice Ostrzeżenie: (0%)	Edit: Hm... teraz dopiero zczaiłem o co Ci chodziło, w sumie nie pomyślałem o tym. Ten post edytował #luq 8.07.2009, 21:29:15

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 18.09.2025 - 07:54

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn