[PHP]Logowanie, Skomplikowany błąd Opcje

[MateuszS]

Witam. Miałem skrypt bez bazy, jednak po dodaniu bazy danych musiałem go przerobić, słabo mi to wyszło bo coś nie działa za bardzo, cały czas złe hasło, przerabiałem go jak się da, dorabiałem itd i mam

[PHP] pobierz, plaintext 
<?php
if($_GET['opcja']=='logowanie') {
$logineczek = $_POST['login'];
$haseleczko = $_POST['haslo'];
$cohaseleczko = sha1($haseleczko);
$inv = mysql_query("SELECT `username`,`sha_pass_hash` FROM `account` WHERE username='$logineczek' AND sha_pass_hash='$cohaseleczko'");
$rowek = mysql_fetch_assoc($inv);
 
if($logineczek == $rowek['username'] and $cohaseleczko == $rowek['sha_pass_hash']) { 
$_SESSION['log'] = '1234592';
echo '<script language="JavaScript">window.location="store.php?id=17&opcja=panel";</script>'; 
} elseif ((!empty($_POST['login']) or !empty($_POST['haslo'])) and ($rowek['username'] != $_POST['login'] or $rowek['sha_pass_hash'] != $cohaseleczko)) {
echo '<center><br /><font color="red">Zły login lub hasło</font></center>'; } 
    if($_SESSION['log'] == '1234592') {
    echo '<b><a href="store.php?id=17&opcja=panel">PANEL</a></b>'; 
    } 
echo '<form method="POST">
      <b><center>Zaloguj się na konto serwerowe: </b><br />';
echo '<p>Login: <input type="text" size="15" name="login" /></p>
      <p>Hasło: <input type="password" size="15" name="haslo" /></p>
      <p><input type="submit" value="Zaloguj" name="Zaloguj" />';
 
}
?>
[PHP] pobierz, plaintext 

Nie wiem co jest źle bo nie loguje do bazy...

[Spawnm]

[PHP] pobierz, plaintext 
<?php
if($_GET['opcja']=='logowanie') {
$logineczek = $_POST['login'];
?>
[PHP] pobierz, plaintext 

wysyłasz post , a chcesz odebrać get

//edit,
kod bez sensu
podatny na sql injection

Ten post edytował Spawnm 20.03.2009, 17:51:09

[Fifi209]

Polecam otworzyć połączenie:
mysql_connect();" title="Zobacz w manualu PHP" target="_manual
i wybrać bazę
mysql_select_db();" title="Zobacz w manualu PHP" target="_manual

[mls]

wysyłasz post , a chcesz odebrać get

A co ma piernik do wiatraka, że tak to ujmę? POST i GET mogą iść jednocześnie i w tym konkretnym przypadku zapewne tak jest.

Moim pytaniem jest więc - czy to cały skrypt, czy jego część? Czy jest w nim w ogóle połączenie się z bazą danych? Jaki konkretnie błąd zwraca skrypt?

[MateuszS]

Polaczenie z baza jest OK. Mysle ze tu chodzi o hashowanie sha1. Poniewaz gdy je usunę, zmienie w bazie to i owo zeby nie bylo hasla hashowanego wszystko dziala ale po dodaniu hasha wszystko sie wali. Tabela ma nazwe sha_pass_hash jak zauwazyliscie (ja jej nie tworzylem) wiec chyba sha1 jest kodowanie. Teraz wywala caly czas ze zle haslo lub login

Tak to czesc wiekszego skryptu (jego poczatek)

PS prosze tez o rady jak go od SQL INj ochronic

Ten post edytował MateuszScirka 20.03.2009, 17:56:41

[Fifi209]

To pokaż nam przykładowy rekord z tabeli z hashami... jej nazwa nie musi mieć nic do zawartości.
Przy zapisywaniu i tak trzeba zapisać jako hash.

@edit
Co do zabezpieczeń przed SQLi, mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual, addslashes" title="Zobacz w manualu PHP" target="_manual

Ten post edytował fifi209 20.03.2009, 18:02:49

[MateuszS]

[SQL] pobierz, plaintext 
-- phpMyAdmin SQL Dump
-- version 3.1.3
-- http://www.phpmyadmin.net
--
-- Host: localhost
-- Czas wygenerowania: 20 Mar 2009, 18:04
-- Wersja serwera: 5.0.67
-- Wersja PHP: 5.2.6
 
SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";
 
 
/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
 
--
-- Baza danych: `realmd`
--
 
-- --------------------------------------------------------
 
--
-- Struktura tabeli dla  `account`
--
 
CREATE TABLE IF NOT EXISTS `account` (
  `id` bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT 'Identifier',
  `username` varchar(32) NOT NULL DEFAULT '',
  `sha_pass_hash` varchar(40) NOT NULL DEFAULT '',
  `gmlevel` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  `sessionkey` longtext,
  `v` longtext,
  `s` longtext,
  `email` varchar(320) NOT NULL DEFAULT '',
  `joindate` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `last_ip` varchar(30) NOT NULL DEFAULT '127.0.0.1',
  `failed_logins` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `locked` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  `last_login` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00',
  `online` tinyint(4) NOT NULL DEFAULT '0',
  `expansion` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  `mutetime` bigint(40) UNSIGNED NOT NULL DEFAULT '0',
  `locale` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`id`),
  UNIQUE KEY `idx_username` (`username`),
  KEY `idx_gmlevel` (`gmlevel`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='Account System' AUTO_INCREMENT=5 ;
 
--
-- Zrzut danych tabeli `account`
--
 
INSERT INTO `account` (`id`, `username`, `sha_pass_hash`, `gmlevel`, `sessionkey`, `v`, `s`, `email`, `joindate`, `last_ip`, `failed_logins`, `locked`, `last_login`, `online`, `expansion`, `mutetime`, `locale`) VALUES
(1, 'ADMINISTRATOR', 'a34b29541b87b7e4823683ce6c7bf6ae68beaaac', 3, '', '0', '0', '', '2006-04-25 12:18:56', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0),
(2, 'GAMEMASTER', '7841e21831d7c6bc0b57fbe7151eb82bd65ea1f9', 2, '', '0', '0', '', '2006-04-25 12:18:56', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0),
(3, 'MODERATOR', 'a7f5fbff0b4eec2d6b6e78e38e8312e64d700008', 1, '', '0', '0', '', '2006-04-25 12:19:35', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0),
(4, 'player', 'player', 0, '', '0', '0', '', '2006-04-25 12:19:35', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0);
[SQL] pobierz, plaintext 

[artur_dziocha]

wyświtl sobie tablice $_POST, zahashowane hasło, może błędy w zapytaniu

[PHP] pobierz, plaintext 
<?php
$query = mysql_query($sql) or die(mysql_error());
?>
[PHP] pobierz, plaintext 

[MateuszS]

nie tego wina cos z kodowaniem... albo skladnia nie wiem

[artur_dziocha]

ale wyświetliłeś i porównałeś z baza??jakieś błędy wyskakują

[thomson89]

Może sie mylę mozę źle radzę.

Myślę ze kodujesz w inny sposób a hasło do porównania też w inny. Ale mogę się mylić.

Też kiedyś miałem logowanie jednego użytkownika, potem przeniosłem to na bazę, a potem dałem hashowanie i dluuuugo mi nie działało.

Kod

za pomocą echo sha1('tajnehaslo'); brałem shasowaną wersję hasła
dalej ręcznie kopiowałem to do bazy, update
i wpisywałem tajnehaslo w formularz

Miałem wtedy tylko jeden wiersz w tabeli, takze w koncu doszedłem co tam było. No, ale teraz nie pamiętam.

[MateuszS]

To moze ktos pozmienia ten skrypt, bo dosc chaotyczny jest

[erix]

To może przepiszesz go zgodnie ze wskazówkami? Na ogłoszenia/zlecenia jest odpowiedni dział.

[thomson89]

Ja bym to zrobił inaczej.

• Sprawdzamy wypełnienie formularza
• Łączymy się z bazą
• Ustawiamy krótkie zmienne
• Hashujemy hasło sha1
• Sprawdzamy czy jest taki uzytkownik:

  [SQL] pobierz, plaintext 
  SELECT * FROM userzy WHERE nazwa=login AND haslo=cohaslo
  [SQL] pobierz, plaintext 

• Wynik przepuszczamy przez num rows
• Jeżeli wynik<1 & wynik>2 błąd
• Jeżeli wynik = 1 mozemy zalogować uzytkownika

Wczesniej zrób to co napisałe post wczesniej i pórbuj aż ci wyjdzie.

To moze ktos pozmienia ten skrypt, bo dosc chaotyczny jest

Dlatego twórcy php, i nie tylko umożliwili dodawanie komentarzy, wcięć enterów, odstępów, tab, spacji itp. itd.

[PHP] pobierz, plaintext 
<?php
//*****************//
// WAZNACZYNNOSC //
//*****************//
 
                                                         //jakies objasnienie
 
//teraz robie to
 
/a tutaj zmieniam to na to
?>
[PHP] pobierz, plaintext 

[MateuszS]

Napisałem własne

[PHP] pobierz, plaintext 
<?php
if($_GET['opcja']=='logowanie') {
$user = mysql_real_escape_string($_POST['login']);
$pass = mysql_real_escape_string(sha1($_POST['password']));
$query=mysql_query("SELECT id,username,sha_pass_hash FROM `account`
                    WHERE username='$user' AND sha_pass_hash='$pass' ");
    if($query) {
    $_SESSION['log'] = '1234592';
    header("Location: store.php?id=17&opcja=panel");
    } else {
    echo 'Złe dane.';
    }
                    
    
 
 
}
?>
[PHP] pobierz, plaintext 

Jednak zawsze mnie przenosi do panelu ^^

[Fifi209]

Gdyż w zmiennej $query zawsze coś jest;d

Daj tam zamiast $query
$dane = mysql_fetch_assoc($query)

[MateuszS]

To znowu ja. Wiem na czym polega problem. Otóż: hasło które koduję i porównuję nie jest identyczne z tym które mam w bazie. Oto kod:

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$haslo = sha1($_POST['password']);
 
$query = mysql_query("SELECT * FROM `account`") or die(mysql_error());
$wynik = mysql_fetch_assoc($query);
 
if($login == $wynik['username'] && $haslo == $wynik['sha_pass_hash']) {
echo 'Zalogowany';
} else {
echo 'Nie zalogowany';
echo '<br /><br />';
echo $wynik['username'] . '<br />' . $login . '<br />' . $wynik['sha_pass_hash'] . '<br />' . $haslo;
}
?>
[PHP] pobierz, plaintext 

Login: ADMINISTRATOR hasło: administrator
Oto moje porównanie:

Kod

Nie zalogowany

ADMINISTRATOR
ADMINISTRATOR
a34b29541b87b7e4823683ce6c7bf6ae68beaaac
b3aca92c793ee0e9b1a9b0a5f5fc044e05140df3

JAk to naprawić?

Ten post edytował MateuszScirka 5.04.2009, 10:44:05

[decha-design]

jakim cudem hash sha1 z ADMINISTRATOR jest a34b29541b87b7e4823683ce6c7bf6ae68beaaac jak ja mam 25c5d184fd3c8e7d24af0e237c061f5480a5e86e ... o.O'

Ja nie wiem co ty tam robisz ...

Ten post edytował decha-design 5.04.2009, 10:48:23

[MateuszS]

napisałem przecież że hash z administrator a nie ADMINISTRATOR

[thomson89]

Myślę ze kodujesz w inny sposób a hasło do porównania też w inny. Ale mogę się mylić.

To znowu ja. Wiem na czym polega problem. Otóż: hasło które koduję i porównuję nie jest identyczne z tym które mam w bazie. Oto kod:

A nie mówiłem?

[MateuszS]

Więc nie wiem czemu to się nie zgadza a powinno

[Merko]

Co do tego skryptu z logowaniem :

Kod

Nie zalogowany

ADMINISTRATOR
ADMINISTRATOR
a34b29541b87b7e4823683ce6c7bf6ae68beaaac - ADMINISTRATOR:ADMINISTRATOR
b3aca92c793ee0e9b1a9b0a5f5fc044e05140df3 - administrator

Wystarczy uzyć dekodera jest ich pełno i powinieneś już wiedzieć czemu nie działa

[MateuszS]

No ok ale czemu tak sie dzieje? Czemu sie 2 razy administrator pojawia i dwukropek, w kodzie nic takiego nie ma

[Merko]

W bazie masz tak zapisane pewno przy rejestracji albo cos...

[MateuszS]

Na 100% login ADMINISTRATOR i haslo administrator ma byc

[thomson89]

Trzy kroki:

• tworzysz plik koduj php:

  [PHP] pobierz, plaintext 
  <?php
  if(!isset($_GET['a'])){
  echo '<form method="post" action="koduj.php?a=a"><input type="text" name="ciag"></form>';
  }
  if(isset($_GET['a'])){
  $ciag = $_POST['ciag'];
  echo 'Ciąg to:'.$ciag;
  echo '<br>Ciąg sha1() to:'.sha1($ciag);
  ?>
  [PHP] pobierz, plaintext 

• podany ciąg zapisujesz od bazy za pomocą

  [SQL] pobierz, plaintext 
  UPDATE uzytkownicy WHERE id=1 SET haslo='twojciag z powyzszego skryptu'
  [SQL] pobierz, plaintext 

• włączasz swoje logowanie

Powinno śmigać.

Pozdro!

[MateuszS]

dzieki, ale slabo ten skrypt rozumiem

Ten post edytował MateuszScirka 5.04.2009, 18:57:58

[Merko]

Może z bazy masz zle skodowane przecież widzisz w sha1 zobacz jakie w bazie jest i się wyjasni. Zapewne zle dodałeś rekord i przez to błąd

[MateuszS]

rekord juz byl dodany, baza jest pobrana

[thomson89]

dzieki, ale slabo ten skrypt rozumiem

Mój skrypt?

No, oj, sorry. Dodaj <input type="submit" value="koduj">. Czyli będzię: echo '<form method="post" action="koduj.php?a=a"><input type="text" name="ciag"><input type="submit" value="koduj"></form>';

Do kodu podajesz ciag do zakodowania. Jak klikniesz koduj, to przejdziemy do koduj.php?a=a i zostanie spełniony drugi warunek. Wtedy wyświetlimy ciag i zakodowany ciag.

[Merko]

Ale zaraz sie zdenerwuje Mówie Tobie że logowanie jest ok tylko w bazie hasło masz złe!

w bazie masz to a34b29541b87b7e4823683ce6c7bf6ae68beaaac - to nie jest sha1("administrator") tylko sha1("ADMINISTRATOR:ADMINISTRATOR")

Jak juz zdążyłem zauważyć na innych kontach tez jest zle np Moderator a7f5fbff0b4eec2d6b6e78e38e8312e64d700008 - MODERATOR:MODERATOR widać że login tu jest 



Spróbuj zalogowac sie na hasło ADMINISTRATOR:ADMINISTRATOR to na 90% wejdziesz

Pozdrawiam

[MateuszS]

No ta ale do gry ktorej ta baza dotyczy loguje sie administrator administrator. NIe powiem graczom zeby wpisywali 2x razy hasla prawda? Pozdro

[kantek]

No ta ale do gry ktorej ta baza dotyczy loguje sie administrator administrator. NIe powiem graczom zeby wpisywali 2x razy hasla prawda? Pozdro

np. dla ADMINISTRATOR:ADMINISTRATOR
(nazwy zmiennych wstaw sobie swoje )

[PHP] pobierz, plaintext 
<?php
$haslo = $_POST['haslo'].':'.$_POST['haslo'];
?>
[PHP] pobierz, plaintext 

Ale takie rozwiązanie to prowizorka lepiej poświęć trochę czasu i zrób sobie logowanie porządnie
w końcu to kwestia bespieczeństwa.

Pozdrawiam

[MateuszS]

Nom zrobie tak tymczasowo. Ale musze rozwiazac problem czemu tak sie dzieje.

[thomson89]

Ale musze rozwiazac problem czemu tak sie dzieje.

Odpowiedź:

Myślę ze kodujesz w inny sposób a hasło do porównania też w inny.

rekord juz byl dodany, baza jest pobrana

[Merko]

Powiam inaczej bo tak to nie łapiesz jak wrzucałeś baze to wrzuciłeś ze złym hasłem na 100% bo to logowanie działa poprawnie to nie jest wina logowania!! To wina tego rekordu, możliwe że na rejstracji masz zwalone. Bo to nie przy logowaniu robi sie ADMINISTRATOR:ADMINISTRATOR tylko w bazie jest zakodowane tak rozumiesz??