[mysql] kodowanie hasła Opcje

[Chemiq]

mam system rejestracji i logowania. jest w nim zapisywanie zakodowanego hasła i działa jak należy. problem zaczyna się gdy trzeba się zalogować. przyjrzałem się problemowi i doszedłem do wniosku że hasło mimo wszystko nie jest rozkodowywane. oto kod odpowiadający za odczytywanie zakodowanego hasła:

[SQL] pobierz, plaintext 
$sql = "SELECT * FROM `uzytkownik` WHERE login = '$login' AND haslo = PASSWORD('$haslo')"; 
$result = mysql_query($sql);
[SQL] pobierz, plaintext 

jak przy logowaniu wstawie zamiast normalego hasła to zakodowane to można się zalogować.

[rama]

Heh, nie było mnie pare godzin i już jakieś nieporozumienia, ano śmiem tak twierdzić, bo mam dobry humor, ale do rzeczy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Spróbuję ogólnie wyjaśnić o co chodzi w tym problemie, bo zrozumiałem całą tą ideologię (czytać koncept) autora i nie chce się powtarzać, by później przejść do konkretów, czyli integracji mego skryptu (wcześniej napisanego) z systemem logowania autora, czy tam autoryzacji, jak zwał tak zwał (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Idea mechanizmu autoryzacji (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
a ) Użytkownik rejestruje się na specjalnej stronie (np. rejestracja.php), gdzie wprowadza hasło w postaci niezakodowanej, czyli sam tekst, i po potwierdzeniu wszystkie dane zapisywane są w bazie danych (jakieś tam tabelce), gdzie owe hasło przyjmuje postać zaszyfrowaną (password())

b ) User chcąc zalogować się na stronie wprowadza hasło do formularza w postaci niezakodowanej (plain password = 'czytelny tekst').

c ) (Mechanizm skryptu logowania)
- wprowadzenie hasła (niezakodowanego) z sesji do zmiennej $haslo
- skrypt pobiera hasło (zakodowane) z bazy
* zaszyfrowanie hasła (niezakodowanego) z formularza
* porównanie haseł (hasło z bazy = haslo z formularza)

Legend:
* - element oznaczony tym symbolem jest brakującym "ogniwem" w systemie autoryzacji.

Zintegrowanie:

[PHP] pobierz, plaintext 
<?php
$_SESSION['login'] = $login; //wartość pobrana z pola login w formularzu
$_SESSION['haslo'] = $haslo; //wartość pobrana z pola haslo w formularzu
 
dbConnect("yugiohrpg");
 
$pr = mysql_query( "SELECT PASSWORD( '$haslo' ) as password" );
$haslo = mysql_result( $pr, 'password' );
 
$sql = "SELECT * FROM `uzytkownik` WHERE login = '$login' AND haslo = '$haslo'"; 
$result = mysql_query($sql);
?>
[PHP] pobierz, plaintext 

lub jak to wcześniej napisał (bodajże) mariuszn3

[PHP] pobierz, plaintext 
<?php
$_SESSION['login'] = $login; //wartość pobrana z pola login w formularzu
$_SESSION['haslo'] = $haslo; //wartość pobrana z pola haslo w formularzu
 
dbConnect("yugiohrpg");
 
$sql = "SELECT * FROM `uzytkownik` WHERE login = '$login' AND haslo = PASSWORD( '$haslo' )"; 
$result = mysql_query($sql);
?>
[PHP] pobierz, plaintext 

Też powinno działać, bo jak nie patrzeć są to dwie metody uzyskania tego samego efektu...

@edit
Tak sobie myśle, czy nie lepiej byłoby, aby php zajmowało się weryfikacją użytkownika?

[PHP] pobierz, plaintext 
<?php
$_SESSION['login'] = $login; //wartość pobrana z pola login w formularzu
$_SESSION['haslo'] = $haslo; //wartość pobrana z pola haslo w formularzu
 
dbConnect("yugiohrpg");
 
$pr = mysql_query( "SELECT PASSWORD( '$haslo' ) as password" );
$pass = mysql_result( $pr, 'password' );
 
$mq = mysql_query( "SELECT * FROM `uzytkownik` WHERE login = '$login'" );
 
if( mysql_num_rows( $mq ) === 1 ) 
{
   $userdata = mysql_fetch_assoc( $mq );
 
   if( $userdata['haslo'] === $pass ) 
   {
	  /**
	   * tutaj co ma robić po poprawnej autoryzacji
	   * np. przekierowanie na inna strone
	   */
   } else {
	  print 'Złe hasło';
   }
 
} else {
   print 'Nie ma takiego użytkownika';
}
?>
[PHP] pobierz, plaintext 

PS Zakładając, że nazwy użytkownika są jakoś limitowane (np. wyłącznie z małej litery cały string) (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował rama 4.08.2006, 23:49:25