Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

MD5 i hasła w bazie

primo Zobacz profil	11.09.2004, 08:20:13 Post #1
Grupa: Zarejestrowani Postów: 254 Pomógł: 0 Dołączył: 30.12.2003 Skąd: Strzegom Ostrzeżenie: (0%)	Witam, zachciało mi się przerabiać skrypt, aby hasła w bazie były odczytywane poprzez funkcję MD5. W tym celu poprzez polecenie: UPDATE `user` SET `userpassword` = MD5(`userpassword`) zmodyfikowałem hasła w bazie. Wziąłem się teraz za przerabianie skryptu i napotkałem problemy. [PHP] pobierz, plaintext <?php function auth_user($userid, $userpassword) { global $default_dbname, $user_tablename; $link_id = db_connect($default_dbname); $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword = MD5(\".$_POST['userpassword'].\")\"; $result = mysql_query($query); if(!mysql_num_rows($result)) return 0; else { $query_data = mysql_fetch_row($result); return $query_data[0]; } } ?> [PHP] pobierz, plaintext poprawiłem skrypt i zdawać by się mogło, że powinni działać, ale niestety ciągle wyskakuje, iż autoryzacja nieudana. Czy błąd tkwi w tej funkcji, widzi ktoś jakieś niedopatrzenie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Proszę o pomoc, z góry dziękuję. pozdrawiam

Start new topic

Odpowiedzi (1 - 16)

goped Zobacz profil	11.09.2004, 08:50:28 Post #2
Grupa: Zarejestrowani Postów: 156 Pomógł: 0 Dołączył: 28.11.2003 Skąd: gliwice Ostrzeżenie: (0%)	dobra, wiem, ze moze nie powinienem pisac jezeli sie nie znam, bo na mysql sie wogole nie znam, ale tu wyglada podejrzanie [PHP] pobierz, plaintext <?php $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword = MD5(\".$_POST['userpassword'].\")\"; ?> [PHP] pobierz, plaintext jezeli sie przyjrzysz to md5 jest na czerwono, czyli nie uwazane jako funkcja, popatrz na userid. moze sie myle, ale moze powinno wygladac tak [PHP] pobierz, plaintext <?php $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword =\".MD5($_POST['userpassword']); ?> [PHP] pobierz, plaintext jezeli sie myle to sork, ale tak mi sie zdaje

primo Zobacz profil	11.09.2004, 09:07:40 Post #3
Grupa: Zarejestrowani Postów: 254 Pomógł: 0 Dołączył: 30.12.2003 Skąd: Strzegom Ostrzeżenie: (0%)	niestety to nie to, ale dzięki za dobre chęci (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

JOHNY Zobacz profil	11.09.2004, 09:27:29 Post #4
Grupa: Zarejestrowani Postów: 297 Pomógł: 0 Dołączył: 17.01.2003 Skąd: Tarnów Ostrzeżenie: (0%)	Cytat(primo @ 2004-09-11 09:20:13) [PHP] pobierz, plaintext <?php function auth_user($userid, $userpassword) { global $default_dbname, $user_tablename; $link_id = db_connect($default_dbname); $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword = MD5(\".$_POST['userpassword'].\")\"; $result = mysql_query($query); if(!mysql_num_rows($result)) return 0; else { $query_data = mysql_fetch_row($result); return $query_data[0]; } } ?> [PHP] pobierz, plaintext [PHP] pobierz, plaintext <?php function auth_user($userid, $userpassword) { global $default_dbname, $user_tablename; $link_id = db_connect($default_dbname); $userpassword = md5(stripslashes($_POST['userpassword'])); $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword = '$userpassword'\"; $result = mysql_query($query); if(!mysql_num_rows($result)) return 0; else { $query_data = mysql_fetch_row($result); return $query_data[0]; } } ?> [PHP] pobierz, plaintext

goped Zobacz profil	11.09.2004, 09:43:37 Post #5
Grupa: Zarejestrowani Postów: 156 Pomógł: 0 Dołączył: 28.11.2003 Skąd: gliwice Ostrzeżenie: (0%)	a to tk moze byc?, tylkko z ciekawosci pytam

primo Zobacz profil	11.09.2004, 10:19:20 Post #6
Grupa: Zarejestrowani Postów: 254 Pomógł: 0 Dołączył: 30.12.2003 Skąd: Strzegom Ostrzeżenie: (0%)	w wersji numer 1 pokazuje błąd w: [HTML] pobierz, plaintext WHERE userid =\".addslashes($_POST['userid']).\" [HTML] pobierz, plaintext natomiast wersja numer 2 nadal niepoprawna autoryzacja. Ten post edytował primo 11.09.2004, 10:20:42

goped Zobacz profil	11.09.2004, 10:28:19 Post #7
Grupa: Zarejestrowani Postów: 156 Pomógł: 0 Dołączył: 28.11.2003 Skąd: gliwice Ostrzeżenie: (0%)	mozecie mi powiedziec jak to jest ze tak moze byc? [PHP] pobierz, plaintext <?php $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword = MD5(\".$_POST['userpassword'].\")\"; ?> [PHP] pobierz, plaintext niemowie ze nie moze tylkoc chcialbym zrozumiec

primo Zobacz profil	11.09.2004, 10:52:28 Post #8
Grupa: Zarejestrowani Postów: 254 Pomógł: 0 Dołączył: 30.12.2003 Skąd: Strzegom Ostrzeżenie: (0%)	według mnie nie powinno być tu błędu: [PHP] pobierz, plaintext <?php function auth_user($userid, $userpassword) { global $default_dbname, $user_tablename; $link_id = db_connect($default_dbname); $userid = $_POST['userid']; $userpassword = $_POST['userpassword']; $userpassword = md5($userpassword); $query = \"SELECT username FROM $user_tablename WHERE userid ='$userid' AND userpassword = '$userpassword'\"; $result = mysql_query($query); if(!mysql_num_rows($result)) return 0; else { $query_data = mysql_fetch_row($result); return $query_data[0]; } } ?> [PHP] pobierz, plaintext zapytanie rozebrane na elementy pierwsze a nadal nie działa. Jeśli dobrze rozumiem to funkcja ta zwraca tylko dwie zmienne userid i userpassword i to jest zwracane w wywołaniach funkcji. O ile się mylę to proszę mnie poprawić. Tablica $_POST jest tablicą superglobalną i nie trzeba jej oznaczać jako global ? W takim razie co jest źle (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

sf Zobacz profil	11.09.2004, 10:59:00 Post #9
Grupa: Zarejestrowani Postów: 1 597 Pomógł: 30 Dołączył: 19.02.2003 Skąd: Tychy Ostrzeżenie: (0%)	hm, wydaje mi sie, ze ostatnio byl podobny problem na forum... sprobuj dac tak : userid=$userid and userpassword=$userpassword

bela Zobacz profil	11.09.2004, 11:32:41 Post #10
Administrator PHPedia.pl Grupa: Developerzy Postów: 1 102 Pomógł: 2 Dołączył: 14.09.2003 Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php $query = \"SELECT username FROM $user_tablename WHERE userid =\".addslashes($_POST['userid']).\" AND userpassword = MD5('\".$_POST['userpassword'].\"')\"; ?> [PHP] pobierz, plaintext zobacz czy po dodaniu '' działa

JOHNY Zobacz profil	11.09.2004, 11:37:21 Post #11
Grupa: Zarejestrowani Postów: 297 Pomógł: 0 Dołączył: 17.01.2003 Skąd: Tarnów Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php $query = \"SELECT * FROM $user_tablename WHERE userid ='$userid' AND userpassword = '$userpassword'\"; ?> [PHP] pobierz, plaintext to po pierwsze po drugie zobacz co ci zapisuje do sesji (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) Ten post edytował JOHNY 11.09.2004, 11:39:24

primo Zobacz profil	11.09.2004, 11:37:51 Post #12
Grupa: Zarejestrowani Postów: 254 Pomógł: 0 Dołączył: 30.12.2003 Skąd: Strzegom Ostrzeżenie: (0%)	niestety to nie wniosło nic nowego

Majdan Zobacz profil	11.09.2004, 11:49:03 Post #13
Grupa: Zarejestrowani Postów: 445 Pomógł: 0 Dołączył: 21.12.2003 Skąd: Tomaszów Lubelski Ostrzeżenie: (10%)	Ja tu widzę błąd innego typu, gdyż zmienne przekazujesz, a nie używasz ich w funkcji. Używasz zmiennych w zapytaniu z tablicy $_POST[]. Nie twierdzę, że to jest błąd, bo być może o to Ci chodziło, ale wygląda to dziwnie. Nie zaszkodzą także cudzysłowy ", albo apostrofy ' w ciągach w zapytaniu.

primo Zobacz profil	11.09.2004, 12:34:19 Post #14
Grupa: Zarejestrowani Postów: 254 Pomógł: 0 Dołączył: 30.12.2003 Skąd: Strzegom Ostrzeżenie: (0%)	nie kapuję. co ma wspólnego ta funkcja z tym, że później jest to przekazywane do sesji... ale wygląda to tak: [PHP] pobierz, plaintext <?php session_start(); if(!isset($userid)) { login_form(); exit; } else { session_register(\"userid\", \"userpassword\"); $username = auth_user($userid, $userpassword); if(!$username) { session_unregister(\"userid\"); session_unregister(\"userpassword\"); echo \"Autoryzacja nieudana. \" . \"Musisz podać poprawny identyfikator użytkownika oraz hasło. \" . \"Jeszcze raz spóbuj się zalogować.<BR>n\"; echo \"<A HREF=\"$PHP_SELF\">Logowanie</A><BR>\"; ?> [PHP] pobierz, plaintext

JOHNY Zobacz profil	11.09.2004, 12:40:04 Post #15
Grupa: Zarejestrowani Postów: 297 Pomógł: 0 Dołączył: 17.01.2003 Skąd: Tarnów Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <? require \"config.php\"; // zapisanie zmiennych do sesji $pass2 = md5(stripslashes($_POST['haslo'])); $query2 = \"SELECT * FROM admin WHERE konto_nick='$nick' AND konto_pass='$pass2'\"; $wynik2 = mysql_query($query2); while($row = mysql_fetch_array($wynik2)) { $pass=$row['konto_pass']; } // check auth function auth_user($nick, $pass) { $pass = md5(stripslashes($_POST['haslo'])); $query = \"SELECT * FROM admin WHERE konto_nick='$nick' AND konto_pass='$pass'\"; $wynik = mysql_query($query); if (!mysql_num_rows($wynik)) return 0; else { $query_data = mysql_fetch_row($wynik); return $query_data[0]; } } function login_form() { ?> <CENTER> <FORM ACTION=\"index.php\" METHOD=\"POST\"> <TABLE width=\"184\"> <TR> <TD width=\"86\" align=\"right\" class=\"tekst-black-bold\">UŻYTKOWNIK:</TD> <TD width=\"86\"><INPUT TYPE=\"text\" NAME=\"nick\" SIZE=\"10\" class=\"pole\"></TD> </TR> <TR> <TD align=\"right\" class=\"tekst-black-bold\">HASŁO:</TD> <TD><INPUT TYPE=\"password\" NAME=\"haslo\" SIZE=\"10\" class=\"pole\"></TD> </TR> <TR> <TD align=\"center\"><INPUT TYPE=\"submit\" VALUE=\"\" NAME=\"username\" class=\"zaloguj\"></TD> <TD align=\"center\"><INPUT TYPE=\"reset\" VALUE=\"\" class=\"wyczysc\"></TD> </TR> </TABLE> </FORM></CENTER> <? } session_start(); if(!isset($_POST['nick']) AND !isset($_POST['pass'])) { login_form(); exit; } else { session_register(\"nick\", \"pass\"); $username = auth_user($_SESSION['nick'], $_SESSION['pass']); if(!$username) { session_unregister(\"nick\"); session_unregister(\"pass\"); echo \"<CENTER><div class=\"tekst-black-bold\">AUTORYZACJA NIEUDANA</div></CENTER>\"; exit; } else echo \"<CENTER><div class=\"tekst-black-bold\"><span class=\"naglowek\">$nick</span> WITAMJ, W PANELU ADMINISTRACYJNYM</div></CENTER>\"; } ?> [PHP] pobierz, plaintext Ja mam tak i u mnie działa (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował JOHNY 11.09.2004, 12:51:10

chfast Zobacz profil	11.09.2004, 18:00:47 Post #16
Grupa: Zarejestrowani Postów: 222 Pomógł: 0 Dołączył: 3.04.2003 Skąd: Wrocław Ostrzeżenie: (0%)	To jeszcze ja spróbuje coś pomóc. 1. Dodaj sobie w skrypcie: [PHP] pobierz, plaintext <?php echo 'userid: ', $_POST['userid']; echo ' userpassword: ', $_POST['userpassword']; echo ' md5: ', md5( $_POST['userpasswors']; ?> [PHP] pobierz, plaintext i sprawdź czy php nie dodaje slashy do tych zmiennych. 2. Dodaj: [PHP] pobierz, plaintext <?php echo $query; ?> [PHP] pobierz, plaintext żeby sprawdzić jak wygląda w rzeczywistości twoje zapytanie. 3. Sprawdź czy wpisy w bazie są poprawne. 4. Jeżeli userid nie jest typu całkowitego (integer) to wartość przekazywana w zapytaniu powinna być ujęta w cudzysłowy. Wartość userpassword też powinna być w cudzysłowiach.

rogrog Zobacz profil	11.09.2004, 19:51:04 Post #17
Grupa: Zarejestrowani Postów: 602 Pomógł: 1 Dołączył: 3.04.2004 Skąd: Trójmiasto (Gdańsk) Ostrzeżenie: (0%)	@goped: obydwie wersje zawierają poprawne odwołania do funkcji z tą różnicą, że: wersja pierwsza wykorzystuje funkcję wbudowaną w MySql, czyli koduje dane na poziomie sqla a Twoja wersja wykorzystuje funkcję phpowską

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 23.12.2025 - 20:11

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn