[HTML][MySQL][PHP]System logowania Opcje

[viamarimar]

1. Skrypt z jakiegos powodu gdy dodalem hash przestal dzialac?
2. Co mozna dodac jeszcze aby logowanie bylo bezpieczniejsze
3. Komunikat o zlym hasle nigdy nie wystepuje?
Nawet jak login jest ok a haslo bledne wywala ze odrazu konta nie ma w bazie czyli komunikat =1

[PHP] pobierz, plaintext 
echo "Złe hasło, proszę spróbować ponownie";
    header("location: index.php?komunikat=2");
[PHP] pobierz, plaintext 

Jak rozwiazac kwestie tego zeby wgl zaczelo logowac, rejestracja uzywa tego samego hasha, no i punkt drugi tu juz inwencja i pomysly.

[PHP] pobierz, plaintext 
...
<?php
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['login']))));
   $_POST['haslo']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['haslo']))));
 
 
$sol = md5("abc"); //sól użytkownika pobierana z bazy
$sol2 = sha1("def"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE login = '".$_POST['login']."' AND pass = '$hash'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		header('Location: index.php');
 
        echo '<p class="success">Zostałeś zalogowany. Możesz przejść na <a href="index.php">stronę główną</a></p>';
    }
}
else{
 
?>
<form class="form-signin" action="s_logowanie.php" method="POST">
						<div class="form-group">
							 <label>Login</label><input class="form-control" name="login" type="text" required />
						</div>
						<div class="form-group">
							 <label>Haslo</label><input class="form-control" name="haslo" type="password" required />
						</div>
						<div class="row">
				<div class="col-xs-6 col-md-6"><input type="reset" value="Wyczyść" class="btn btn-warning btn-block btn-sm" ></div>
				<div class="col-xs-6 col-md-6">
				<input type="hidden" name="loguj" value="1" />
				<input type="submit"  value="Zaloguj" class="btn btn-success btn-block btn-sm">
				</div>
			</div>
</form>
 
 
 
 
 
<?php
}
...
?>
[PHP] pobierz, plaintext 

Ten post edytował viamarimar 29.11.2014, 15:48:55

[Daimos]

Nie wiemy jak wyglądają Twoje konta użytkowników, żeby sprawdzić poprawność danych. Ogólnie odpuść sobie zabezpieczenie z użyciem soli. Zrób normalne logowanie, działające, a później to zmodyfikujesz krok po kroku. Możesz od razu sprawdzić jednym zapytaniem, czy hasło się zgadza, doklejając do tego sól (CONCAT).

Wracając do problemu z samym md5. Pokaż bazę, konto użytkownika. Może za mało znaków masz na hashe w kolumnie? Zrób sobie prostą aplikację, gdzie nie przyjmujesz nic postem. Wstaw wszystko na sztywno, sprawdź co robisz nie tak