Logowanie username or email Opcje

[MESSIAH :)]

Jak poprawnie wywołać kod do logowania przy użyciu nazwy użytkownika lub emaila?

[PHP] pobierz, plaintext 
    if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? LIMIT 1")) {
[PHP] pobierz, plaintext 

zmieniam na

[PHP] pobierz, plaintext 
    if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? OR username = ? LIMIT 1")) {
[PHP] pobierz, plaintext 

Lecz wciąż nie działa przy użyciu username i nie można zalogować po nazwie użytkownika.

[rad11]

Moze wina jest to ze robisz tak:

[PHP] pobierz, plaintext 
if($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? LIMIT 1")){
}
[PHP] pobierz, plaintext 

Zrob tak:

[PHP] pobierz, plaintext 
$stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? LIMIT 1");
 
$query = $stmp->execute();
 
if($query > 0){
echo 'Istnieje wiec logujemy';
}
[PHP] pobierz, plaintext 

Ten post edytował rad11 11.01.2015, 21:10:31

[MESSIAH :)]

Jeśli zmienię email na username tutaj:

[PHP] pobierz, plaintext 
 FROM members
    WHERE email = ? LIMIT 1")){
    }
[PHP] pobierz, plaintext 

Wtedy będę mógł się zalogować po nazwie użytkownika więc tutaj muszę dodać jakis parametr który będzie wybierał pomiędzy username lub mail.

[rad11]

to takie zapytanie zrob ja napisalem przykladowo to zapytanie chodzilo mi o to ze execute nie robisz pierw.

[MESSIAH :)]

Nie rozumiemy się chyba. Ja chce przerobić zapytanie do bazy danych tak aby użytkownik podczas logowania mógł podać username lub email aby sie zalogować.

[sazian]

[PHP] pobierz, plaintext 
$stmt = $mysqli->prepare("SELECT id, username, password, salt
FROM members
WHERE email = ? OR username = ? LIMIT 1")
$stmt->bind_param('ss', $login_lub_email, $login_lub_email);
[PHP] pobierz, plaintext 

[zidek]

Pobieranie hasła z bazy jest raczej niepotrzebne, przecież tego hasła i tak nie będziesz do niczego potrzebował.
Przed wykonaniem zapytania powinieneś na poziomie PHP dokonać walidacji maila. Jeśli ma prawidłową formę wysyłasz zapytanie z warunkiem "WHERE email = '{$login}'", a jeśli nie "WHERE username = '{$login}'"

[com]

Pobieranie hasła z bazy jest raczej niepotrzebne, przecież tego hasła i tak nie będziesz do niczego potrzebował.

Przy logowaniu? raczej powinien je sprawdzić czy sie zgadza z tym co podał ?

[Pyton_000]

Tak, ale można to sprawdzić w zapytaniu

[sowiq]

Tak, ale można to sprawdzić w zapytaniu

Oho, ktoś tu nie soli haseł

[phpion]

@Pyton_000: Ale w takim przypadku zamykasz sobie drogę na informację zwrotną dlaczego użytkownik się nie zalogował. Bo wpisał niepoprawne hasło? Bo jego konto jest nieaktywne? Bo ma jakąś inną flagę ustawioną? Ja też wyciągam dane na podstawie loginu, a potem w PHP porównuję pozostałe parametry.

@MESSIAH: Co do pytania to proponuję dynamicznie podmieniać kolumnę na podstawie tego, co przesłał użytkownik. Jeśli jest to prawidłowy adres e-mail (można skorzystać z filter_var z flagą FILTER_VALIDATE_EMAIL) - użyj kolumny email, jeśli nie - username. Nie bawiłbym się w żadne ORy bo to skutecznie uniemożliwi użycie indeksu. W zaproponowanym przeze mnie rozwiązaniu jest 1 minus - przypadek, gdy nazwa użytkownika jest adresem e-mail, a podany adres e-mail jest inny no ale to raczej mało realny przypadek.

[Pyton_000]

Dlaczego? Generuję sobie hash z hasła i sprawdzam czy taki hash istnieje w BD łącznie z adresem email lub userem
czyli

Kod

WHERE pass = 'hash' AND (email = 'email' OR username = 'username);

Nie widzę w tym niczego strasznego.

[Edited] @up tak to prawda, ale nie zawsze potrzebuję takiej informacji. To już zależy od kontekstu gdzie i dlaczego tego używam.
Napisałem tylko że tak tez można

Ten post edytował Pyton_000 12.01.2015, 10:21:49

[phpion]

Nie widzę w tym niczego strasznego.

...poza sekwencyjnym skanowaniem tabeli

[sowiq]

Nie widzę w tym niczego strasznego.

A ja widzę. W ten sposób nie posolisz hasła.

PS. Mam nadzieję, że Twój 'hash' to nie sha1, albo co gorsza - md5.

[phpion]

@sowiq:
Chyba, że sól jest wspólna dla wszystkich użytkowników

[sowiq]

Wspólna sól = brak soli.

[Pyton_000]

@sowiq tak czysto informacyjnie używam Crypt z możliwie najmocniejszym algorytmem dost. na serwerze toteż uważam solenie za zbędne (ew. sól ogólna jak phpion powiedział) i tak, nie jest to ani sha1 ani md5

[sowiq]

Bardzo dobrze, że używasz crypt.

Jeśli chodzi o sól, to trzeba sobie zadać pytanie po co w ogóle jest ona stosowana. Jedną z pierwszych odpowiedzi (przynajmniej moich) jest: żeby dwa takie same hasła miały w bazie różne hashe. Zarówno w przypadku braku soli jak i w przypadku soli wspólnej dla całej bazy, takie same hasła będą miały takie same hashe. W związku z tym, z całą odpowiedzialnością podtrzymuję co napisałem wcześniej: wspólna sól = brak soli.

Ten post edytował sowiq 12.01.2015, 10:55:23

[Pyton_000]

Ten argument do mnie trafia bo jest racjonalny i poprawny politycznie

[com]

Pyton_000 zgadzam się można, ale ten oto programista robił to sposobem opisanym przez phpion, a ja odnosiłem się do tego przypadku, bo uwzględniając podane przez innych argumenty, też wydaje mi się on bardziej sensowny, bo skoro już generujemy funkcje skrótu, to ma być jakieś utrudnienie/zabezpieczenie a jak ma być to zwykły hash , to mając takie możliwości jak mamy teraz, jest on zbliżony w dużej mierze do efektu jakby to było zapisane plaintextem(no może trochę przesadziłem, bo trzeba mieć troche wiedzy), bo wygenerowanie kolizji w takim wypadku jest na pewno prawdopodobne. A sposób zidek nie podawał informacji takiej jak zapropoowałeś co wprowadzało użytkownika w błąd, stąd tez moja uwaga.

[MESSIAH :)]

@MESSIAH: Co do pytania to proponuję dynamicznie podmieniać kolumnę na podstawie tego, co przesłał użytkownik. Jeśli jest to prawidłowy adres e-mail (można skorzystać z filter_var z flagą FILTER_VALIDATE_EMAIL) - użyj kolumny email, jeśli nie - username. Nie bawiłbym się w żadne ORy bo to skutecznie uniemożliwi użycie indeksu. W zaproponowanym przeze mnie rozwiązaniu jest 1 minus - przypadek, gdy nazwa użytkownika jest adresem e-mail, a podany adres e-mail jest inny no ale to raczej mało realny przypadek.

Używam czegoś takiego:

[PHP] pobierz, plaintext 
if (isset($_POST['email'], $_POST['p'])) {
    $email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
    $password = $_POST['p']; // The hashed password.
 
    if (login($email, $password, $mysqli) == true) {
        // Login success 
        header("Location: ../panelphp");
        exit();
    } else {
        // Login failed 
        header('Location: ../index.php?error=1');
        exit();
    }
[PHP] pobierz, plaintext 

Username jest w $_SESSION['username'] dalej nie mam pojęcia jak wykonać logowanie z username or email. Wszędzie radzą użyć w WHERE tego 'OR' niestety nie działa w moim przypadku.

Ten post edytował MESSIAH :) 12.01.2015, 19:48:22

[Pyton_000]

Pokaż zapytanie którym pobierasz dane oraz jak je odpalasz (cała otoczka zapytania)

[MESSIAH :)]

[PHP] pobierz, plaintext 
function login($email, $password, $mysqli) {
    // Using prepared statements means that SQL injection is not possible. 
    if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM membes 
                                  WHERE email = ? LIMIT 1")) {
        $stmt->bind_param('s', $email);  // Bind "$email" to parameter.
        $stmt->execute();    // Execute the prepared query.
        $stmt->store_result();
 
        // get variables from result.
        $stmt->bind_result($user_id, $username, $db_password, $salt);
        $stmt->fetch();
dalszy kod zawiera $password }
[PHP] pobierz, plaintext 

[Pyton_000]

Dodajesz do WHERE waruneek i kolejny bind_param i tyle

A no i oczywiście do funkcji musisz przekazać username

Ten post edytował Pyton_000 12.01.2015, 20:09:21

[MESSIAH :)]

Dodałem tylko opcje:

[PHP] pobierz, plaintext 
if(strpos($email,'@') !== FALSE)
[PHP] pobierz, plaintext 

który zwraca wyniki i przekazuje dalej

[com]

Dodałem tylko opcje:

[PHP] pobierz, plaintext 
if(strpos($email,'@') !== FALSE)
[PHP] pobierz, plaintext 

który zwraca wyniki i przekazuje dalej

I dało Ci to oczekiwany rezultat czy jak bo ta odp nic nie mówi, ale widzę Ty o jednym a reszta o innym, chodzi o warunek w zapytaniu a nie w php

[zidek]

To ja tylko dopowiem, że podając warunek "WHERE email = '{$login}'" zakładałem, że pojawi się po nim jakieś "AND ..."

Tak jak powiedział sowiq - stała sól to brak soli, ale można skorzystać np. z jakiegoś generatora soli na podstawie loginu, doklejać fragmentu loginu do hasła i potem hashować. W ten sposób na pewno żadne hasła w bazie nie będą powtarzane. No i unikamy wtedy pobierania hasła z bazy, jest ono stosowane tylko w formie hashowanej jako warunek.

Rozbicie całego procesu na dwa zapytania też nie powinno gwałtownie obciążyć serwera. W pierwszym zapytaniu pobieramy id i sól (na podstawie loginu), jeśli mamy 0 wyników możemy zwrócić odpowiedni błąd o braku użytkownika. Pobraną sól wykorzystujemy do hashowania i w drugim zapytaniu porównujemy z ciągiem zapisanym w kolumnie "password" I oczywiście także zwracamy odpowiedni błąd przy zerowej liczbie wyników.

Mniej więcej o takie rozwiązanie mi chodziło. Zresztą... co programista to inny pomysł. I dobrze.

[MESSIAH :)]

I dało Ci to oczekiwany rezultat czy jak bo ta odp nic nie mówi, ale widzę Ty o jednym a reszta o innym, chodzi o warunek w zapytaniu a nie w php

Tak dało oczekiwany efekt. strpos przeszukuje wartość przesłaną przez $_POST i szuka w niej @ jeśli znajdzie to traktuje to jako email jeśli nie to jako username. Wiem że oni piszą o hasłach. TAK MAM HASHOWANE HASŁO + SÓL.

[com]

ok to dobrze
zidek taka sol to nie sol dlaczego, bo pierwsze co się zrobi to właśnie to sprawdzi a nadmierna kombinacja na bazie tylko niepotrzebnie ją obciąży

[Pyton_000]

A ja dalej nie rozumie tej całej kombinacji i magii...

Tworzysz tabele gdzie username i email są inikalnymi kolumnami.
Robisz panel logowania "Wpisz nazwę użytkownika lub email"
Wstawiasz to w zapytanie:

[SQL] pobierz, plaintext 
SELECT username, email, password FROM users WHERE username = 'userKowalski' OR email = 'userKowalski';
[SQL] pobierz, plaintext 

Potem sprawdzasz czy zakodowane hasło zgadza się z tym w bazie i koniec. Po co jakieś sprawdzanie czy jest @.
Równie dobrze można sprawdzać czy w tym polu jest literka A - jak jest to Kobieta

[MESSIAH :)]

Niestety juz próbowałem z opcją OR i nie działało. Ty masz zdefioniowany username a ja nie. U mnie email =? bo uzywam $stmt gdzie musisz przekazać ze zmiennej wartość która zostałą wysłana POSTem

Ten post edytował MESSIAH :) 13.01.2015, 13:50:31

[phpion]

Jeśli chodzi o dynamiczne podstawianie kolumny to miałem na myśli coś takiego:

[PHP] pobierz, plaintext 
$stmt = $mysqli->prepare("SELECT id, username, password, salt FROM membes WHERE ".(filter_var($email, FILTER_VALIDATE_EMAIL) !== FALSE ? 'email' : 'username')." = ? LIMIT 1");
[PHP] pobierz, plaintext 

[Pyton_000]

Chcesz powiedzieć że nie masz w bazie pola username?
Do zapytania masz podstawić to co masz z POST czyli I do username I do email MUSI iść ta sama wartość....

[MESSIAH :)]

Ja mam tak:

[PHP] pobierz, plaintext 
    $email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
[PHP] pobierz, plaintext 

Tak mam usenrame i email w bazie danych. W moim skrypcie korzystam z Anty Brute Force i anty SQL Injection

Ten post edytował MESSIAH :) 13.01.2015, 14:56:35