Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[PHP]Szyfrowanie/hashowanie od podstaw

kropamk Zobacz profil	1.12.2011, 12:13:35 Post #1
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	Witam. Nie za bardzo rozumiem jak mam umieścić md5 w skrypcie aby wszystko działało poprawnie. Rejestracja wygląda tak: [PHP] pobierz, plaintext <?php // DEKLARACJA ZMIENNYCH Z FORMULARZA // $username = $_POST['username']; $password = $_POST['password']; $password_confirm = $_POST['password_confirm']; $mail = $_POST['mail']; // sprawdzenie czy zmienne zostaly wprowadzone if($username&&$password&&$mail) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych"); $duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' \|\| mail='$mail'"); $num_rows = mysql_num_rows($duplicate); if ($num_rows){ echo "Podana nazwa użytkownika lub e-mail jest już w użyciu"; return; }else $insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')"; if (!mysql_query($insertquery)) { die('Error: ' . mysql_error()); } echo "Dodano użytkownika"; } else die("Nie można było dodać użytkownika, wypełnij pola poprawnie."); mysql_close($connect) ?> [PHP] pobierz, plaintext a logowanie tak [PHP] pobierz, plaintext <?php $username = $_POST['username']; $password = $_POST['password']; if($username&&$password) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych"); $query = mysql_query("SELECT * FROM users WHERE login='$username' && password='$password'"); $numrows = mysql_num_rows($query); if ($numrows!=0) { $_SESSION['zalogowany'] = true; $_SESSION['username'] = $_POST['username']; $_SESSION['password'] = $_POST['password']; echo '<div id="message">Witamy '. $username .'. <a href="index.php">Powrót</a></div>'; } else die("Nie ma takiego użytkownika"); } else die("Nieprawidłowy użytkownik lub hasło"); mysql_close($connect) ?> [PHP] pobierz, plaintext Będę wdzięczny za jakiekolwiek inne uwagi co do kodu. Pozdrawiam.

2 Stron

1 2 >

Start new topic

Odpowiedzi (1 - 21)

Bateria Zobacz profil	1.12.2011, 12:34:27 Post #2
Grupa: Zarejestrowani Postów: 129 Pomógł: 13 Dołączył: 23.11.2011 Ostrzeżenie: (0%)	rejestracja [PHP] pobierz, plaintext <?php // DEKLARACJA ZMIENNYCH Z FORMULARZA // $username = $_POST['username']; $password = $_POST['password']; $password_confirm = $_POST['password_confirm']; $password = md5($password); $mail = $_POST['mail']; // sprawdzenie czy zmienne zostaly wprowadzone if($username&&$password&&$mail) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych"); $duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' \|\| mail='$mail'"); $num_rows = mysql_num_rows($duplicate); if ($num_rows){ echo "Podana nazwa użytkownika lub e-mail jest już w użyciu"; return; }else $insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')"; if (!mysql_query($insertquery)) { die('Error: ' . mysql_error()); } echo "Dodano użytkownika"; } else die("Nie można było dodać użytkownika, wypełnij pola poprawnie."); mysql_close($connect) ?> [PHP] pobierz, plaintext logowanie [PHP] pobierz, plaintext <?php $username = $_POST['username']; $password = $_POST['password']; $password = md5($password); if($username&&$password) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych"); $query = mysql_query("SELECT * FROM users WHERE login='$username' && password='$password'"); $numrows = mysql_num_rows($query); if ($numrows!=0) { $_SESSION['zalogowany'] = true; $_SESSION['username'] = $_POST['username']; $_SESSION['password'] = $_POST['password']; echo '<div id="message">Witamy '. $username .'. <a href="index.php">Powrót</a></div>'; } else die("Nie ma takiego użytkownika"); } else die("Nieprawidłowy użytkownik lub hasło"); mysql_close($connect) ?> [PHP] pobierz, plaintext Powinno śmigać a jak nie to napisz, w domu zobaczę to na spokojnie.

kropamk Zobacz profil	1.12.2011, 12:43:13 Post #3
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	Można zarejestrować użytkownika, ale przy logowaniu wyskakuje "Nie ma takiego użytkownika"

xsonic Zobacz profil	1.12.2011, 12:47:40 Post #4
Grupa: Zarejestrowani Postów: 42 Pomógł: 0 Dołączył: 11.03.2010 Ostrzeżenie: (0%)	W md5 chodzi o to żeby zaszyfrować jakiś tekst w twoim przypadku hasło. Jak zaszyfrujesz hasło podczas rejestracji to w polu hasło w bazie będziesz miał hasło zapisane w md5. Czyli nie np bolek tylko fskkb724jgfsd wiec jak się potem logujesz to bolek nie będzie równe fskkb724jgfsd tylko w logowaniu musi być podawane fskkb724jgfsd.

kropamk Zobacz profil	1.12.2011, 12:57:12 Post #5
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	czyli mam dodać do kodu md5 ? $query = mysql_query("SELECT * FROM users WHERE login='$username' && password='md5($password)'");

adam882 Zobacz profil	1.12.2011, 13:09:32 Post #6
Grupa: Zarejestrowani Postów: 289 Pomógł: 1 Dołączył: 2.11.2007 Ostrzeżenie: (0%)	brakuje też walidacji przed sql_injection (np. mysql_real_escape_string() przy zapytaniu). Sprawdzając też czy jest taki użytkownik z danym hasłem dałbym na końcu LIMIT 1, bo inaczej będzie szukać całą bazę

kropamk Zobacz profil	1.12.2011, 15:10:47 Post #7
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	Poprawiłem tak kod logowania, nie pokazuje żadnego błędu tylko komunikat że nie ma takiego użytkownika (użytkownik na 100% jest w bazie) [PHP] pobierz, plaintext <?php $username = $_POST['username']; $password = $_POST['password']; $password=md5($password); if($username&&$password) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych"); $query = mysql_query('select * FROM users WHERE login="'.$username.'" AND password=md5("'.$password.'")'); $numrows = mysql_num_rows($query); if ($numrows!=0) { $_SESSION['zalogowany'] = true; $_SESSION['username'] = $_POST['username']; $_SESSION['password'] = $_POST['password']; echo '<div id="message">Witamy '. $username .'. <a href="index.php">Złóż zamówienie</a></div>'; } else die("Nie ma takiego użytkownika"); } else die("Nieprawidłowy użytkownik lub hasło"); mysql_close($connect) ?> [PHP] pobierz, plaintext

Bateria Zobacz profil	2.12.2011, 07:38:59 Post #8
Grupa: Zarejestrowani Postów: 129 Pomógł: 13 Dołączył: 23.11.2011 Ostrzeżenie: (0%)	Najpierw zaloguj się do bazy danych przez np. phpMyAdmin i sprawdź czy hasło do danego użytkownika zostało zapisane w md5 czy normalnie takie jak podałeś w formularzu rejestracji. I jeżeli tak jest to zainspiruj się tym: [PHP] pobierz, plaintext <?php $mysql = mysql_connect('dbhost','dbpass','dbuser') or die (mysql_error()); $mysql = mysql_connect('dbname') or die (mysql_error()); $login = $_POST['login']; $password = $_POST['password']; $password = md5($password); $query = ("SELECT * FROM nazwa_bazy WHERE login='$login' AND password='$password'"); if(mysql_num_rows($query) == 1){ $_SESSION['zalogowany'] = 1; } ?> [PHP] pobierz, plaintext Ten post edytował Bateria 2.12.2011, 07:44:20

nospor Zobacz profil	2.12.2011, 07:54:46 Post #9
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	Mysl troszeczkę co robisz... najpierw hasło hashujesz w php: $password=md5($password); a potem jeszcze w mysql: password=md5("'.$password.'")' Wywal to z mysql. Hashujesz w php i to wystarczy @bateria zjadłeś mysql_query.

kropamk Zobacz profil	2.12.2011, 09:01:57 Post #10
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	Cytat(nospor @ 2.12.2011, 07:54:46 ) Mysl troszeczkę co robisz... najpierw hasło hashujesz w php: $password=md5($password); a potem jeszcze w mysql: password=md5("'.$password.'")' Wywal to z mysql. Hashujesz w php i to wystarczy @bateria zjadłeś mysql_query. nie rozumiem najpierw w mysql a potem mam wywalić to z mysql. zrobilem takie cos kod rejestracji [PHP] pobierz, plaintext <?php // DEKLARACJA ZMIENNYCH Z FORMULARZA // $username = $_POST['username']; $password = $_POST['password']; $password_confirm = $_POST['password_confirm']; $password = md5($password); $mail = $_POST['mail']; // sprawdzenie czy zmienne zostaly wprowadzone if($username&&$password&&$mail) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych"); $duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' \|\| mail='$mail'"); $num_rows = mysql_num_rows($duplicate); if ($num_rows){ echo 'Podana nazwa użytkownika lub e-mail jest już w użyciu<br/>'; echo '<a href="rejestracja.html">Wróc do rejestracji</a><br/>'; echo '<a href="index.php">Bądź systemu logowania</a>'; return; }else $insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')"; if (!mysql_query($insertquery)) { die('Error: ' . mysql_error()); } echo 'Dodano użytkownika'; echo '<a href="index.php">Wróc do systemu logowania</a>'; } else die("Nie można było dodać użytkownika, wypełnij pola poprawnie."); mysql_close($connect) ?> [PHP] pobierz, plaintext a to kod logowania [PHP] pobierz, plaintext <?php $username = $_POST['username']; $password = $_POST['password']; $password=md5($password); if($username && $password) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych"); $query = mysql_query('select * FROM users WHERE login = "'.$username.'" AND password=md5("'.$password.'")'); $numrows = mysql_num_rows($query); if ($numrows!=0) { $_SESSION['zalogowany'] = true; $_SESSION['username'] = $_POST['username']; $_SESSION['password'] = $_POST['password']; echo '<div id="message">Witamy '. $username .'. <a href="index.php">Złóż zamówienie</a></div>'; } else die("Nie ma takiego użytkownika"); } else die("Nieprawidłowy użytkownik lub hasło"); mysql_close($connect) ?> [PHP] pobierz, plaintext W myphpadmin pokazuje juz kasło po md5 Po próbie zalogowania hasłem jak przy rejestracji pokazuje że nie ma takiego użytkownika, gdy wpisuje hasło takie jak po md5 (biore je z bazy) to sie loguje.

nospor Zobacz profil	2.12.2011, 09:11:16 Post #11
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	Cytat nie rozumiem najpierw w mysql a potem mam wywalić to z mysql. NIkt ci nigdzie nie kazał robić md5 na poziomie zapytania. md5 kazano ci robić w php i tę wartość wkładać do zapytania.

kropamk Zobacz profil	2.12.2011, 12:09:07 Post #12
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	powinienem pozostawić [PHP] pobierz, plaintext $query = mysql_query('select * FROM users WHERE login = "'.$username.'" AND password=md5("'.$password.'")'); [PHP] pobierz, plaintext a w deklarowanych zmiennych powinienem mieć [PHP] pobierz, plaintext $username = $_POST['username']; $password = $_POST['password']; $password = md5($password); [PHP] pobierz, plaintext

Bateria Zobacz profil	2.12.2011, 13:27:49 Post #13
Grupa: Zarejestrowani Postów: 129 Pomógł: 13 Dołączył: 23.11.2011 Ostrzeżenie: (0%)	W rejestracji wysyłasz hasło do bazy danych ale proces kodowania do md5 nie przebiega za pomocą funkcji w bazie danych tylko w skrypcie, więc wysyłasz już zakodowane hasło. Natomiast w pliku logowania gdy wpiszesz hasło do pola $_POST zostanie ono zakodowane do md5 i porównane z zakodowanym hasłem które zostanie pobrane z bazy danych. A więc w rejestracji zmienne deklarujesz w ten sposób: [PHP] pobierz, plaintext $username = $_POST['username']; $password = $_POST['password']; $password_confirm = $_POST['password_confirm']; $password = md5($password); $mail = $_POST['mail']; [PHP] pobierz, plaintext Logowanie: [PHP] pobierz, plaintext $username = $_POST['username']; $password = $_POST['password']; $password = md5($password); [PHP] pobierz, plaintext I query w logowaniu: [PHP] pobierz, plaintext $query = mysql_query("SELECT * FROM nazwa_bazy WHERE login='$login' AND password='$password'"); [PHP] pobierz, plaintext I teraz musisz sprawdzić jaka ilość wierszy zwróci to zapytanie, jeżeli 1 tworzy sesje i jesteś zalogowany. Ten post edytował Bateria 2.12.2011, 13:32:30

kropamk Zobacz profil	2.12.2011, 14:47:18 Post #14
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	Poprawki naniesione i czy nie mogę w ten sposób sprawdzić czy użytkownik jest zalogowany ? [PHP] pobierz, plaintext <?php $username = $_POST['username']; $password = $_POST['password']; $password = md5($password); if($username && $password) { $connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć"); mysql_select_db("formonline", $connect) or die("Nie można znaleźć bazy danych"); $query = mysql_query("select * FROM users WHERE login='$username' AND password='$password'"); $numrows = mysql_num_rows($query); if ($numrows!=0) { $_SESSION['zalogowany'] = true; $_SESSION['username'] = $_POST['username']; $_SESSION['password'] = $_POST['password']; echo '<div id="message">Witamy '. $username .'. <a href="index.php">Złóż zamówienie</a></div>'; } else die("Nie ma takiego użytkownika"); } else die("Nieprawidłowy użytkownik lub hasło"); mysql_close($connect) ?> [PHP] pobierz, plaintext

Bateria Zobacz profil	2.12.2011, 16:05:44 Post #15
Grupa: Zarejestrowani Postów: 129 Pomógł: 13 Dołączył: 23.11.2011 Ostrzeżenie: (0%)	Oczywiście że możesz a nawet było by wskazane. Jeżeli pomogłem kliknij ikonkę 'POMÓGŁ'

kropamk Zobacz profil	3.12.2011, 12:20:22 Post #16
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	@Bateria coś nadal jest nie tak z kodem w loginie ponieważ rejestracji ładnie szyfruje hasło (sprawdzałem w phpmyadnim), ale podczas logowania nie znajduje użytkownika nawet po wpisanym haśle zaszyfrowanym (wyciągnietym z bazy)

kadlub Zobacz profil	3.12.2011, 12:30:03 Post #17
Grupa: Zarejestrowani Postów: 548 Pomógł: 105 Dołączył: 4.06.2010 Ostrzeżenie: (0%)	jakiej wielkości masz pole w bazie danych w którym przechowujesz hasło

kropamk Zobacz profil	3.12.2011, 12:39:50 Post #18
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	var 20

kadlub Zobacz profil	3.12.2011, 12:40:46 Post #19
Grupa: Zarejestrowani Postów: 548 Pomógł: 105 Dołączył: 4.06.2010 Ostrzeżenie: (0%)	zmień na char (100)

kropamk Zobacz profil	3.12.2011, 12:44:54 Post #20
Grupa: Zarejestrowani Postów: 156 Pomógł: 12 Dołączył: 30.11.2011 Skąd: Gdańsk Ostrzeżenie: (0%)	i to bylo to (IMG:style_emoticons/default/smile.gif) wszystko działa. Dziękuję za pomoc (IMG:style_emoticons/default/smile.gif)

nospor Zobacz profil	4.12.2011, 10:10:56 Post #21
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	Cytat zmień na char (100) Raczej na varchar(32) a jeszcze lepiej na char(32) - md5 zawsze zwraca 32 znaki

-Gość-	4.12.2011, 19:16:57 Post #22
Goście	MD5 (zwłaszcza bez soli) nie jest już bezpieczną metodą przechowywania haseł i już jej się nie powinno stosować. Najlepiej jakby hasło było przechowywane za pomocą SHA512 z solą unikalną dla każdego użytkownika. Można to zrealizować tak: [PHP] pobierz, plaintext hash_hmac('sha512', $password_plaintext, $salt); [PHP] pobierz, plaintext ciąg ma długość 128 znaków, czyli musi być w polu char(128) Logowanie wygląda tak, że zadajesz zapytanie select wyszukujące po nazwie użytkownika (nie możesz od razu sprawdzać hasła bo żeby je dobrze wygenerować musisz mieć salt). 1. Może się wydawać to nadmiarowe, ale jak ktoś przełamie zabezpieczenia (nawet nie poprzez Twój błąd tylko kogoś innego) i dostanie twoją bazę danych w swoje ręce to takie zabezpieczenie będzie się wydawać o wiele mniej nadmiarowe. W idealnym świecie każdy ma osobne hasło do każdego serwisu, a hasło jest złożone z losowych znaków o dużych i małych literach. W rzeczywistości hasła użytkowników są o wiele bardziej słownikowe. 2. To że hash jest taki długi, nie powoduje że jest znacząco wolniejszy.

« Następny starszy · Przedszkole · Następny nowszy »

2 Stron

1 2 >

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 6.10.2025 - 22:32

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn