[PHP]Logowanie, Skomplikowany błąd Opcje

[MateuszS]

Witam. Miałem skrypt bez bazy, jednak po dodaniu bazy danych musiałem go przerobić, słabo mi to wyszło bo coś nie działa za bardzo, cały czas złe hasło, przerabiałem go jak się da, dorabiałem itd i mam

[PHP] pobierz, plaintext 
<?php
if($_GET['opcja']=='logowanie') {
$logineczek = $_POST['login'];
$haseleczko = $_POST['haslo'];
$cohaseleczko = sha1($haseleczko);
$inv = mysql_query("SELECT `username`,`sha_pass_hash` FROM `account` WHERE username='$logineczek' AND sha_pass_hash='$cohaseleczko'");
$rowek = mysql_fetch_assoc($inv);
 
if($logineczek == $rowek['username'] and $cohaseleczko == $rowek['sha_pass_hash']) { 
$_SESSION['log'] = '1234592';
echo '<script language="JavaScript">window.location="store.php?id=17&opcja=panel";</script>'; 
} elseif ((!empty($_POST['login']) or !empty($_POST['haslo'])) and ($rowek['username'] != $_POST['login'] or $rowek['sha_pass_hash'] != $cohaseleczko)) {
echo '<center><br /><font color="red">Zły login lub hasło</font></center>'; } 
    if($_SESSION['log'] == '1234592') {
    echo '<b><a href="store.php?id=17&opcja=panel">PANEL</a></b>'; 
    } 
echo '<form method="POST">
      <b><center>Zaloguj się na konto serwerowe: </b><br />';
echo '<p>Login: <input type="text" size="15" name="login" /></p>
      <p>Hasło: <input type="password" size="15" name="haslo" /></p>
      <p><input type="submit" value="Zaloguj" name="Zaloguj" />';
 
}
?>
[PHP] pobierz, plaintext 

Nie wiem co jest źle bo nie loguje do bazy...

[Spawnm]

[PHP] pobierz, plaintext 
<?php
if($_GET['opcja']=='logowanie') {
$logineczek = $_POST['login'];
?>
[PHP] pobierz, plaintext 

wysyłasz post , a chcesz odebrać get

//edit,
kod bez sensu
podatny na sql injection

Ten post edytował Spawnm 20.03.2009, 17:51:09

[Fifi209]

Polecam otworzyć połączenie:
mysql_connect();" title="Zobacz w manualu PHP" target="_manual
i wybrać bazę
mysql_select_db();" title="Zobacz w manualu PHP" target="_manual

[mls]

wysyłasz post , a chcesz odebrać get

A co ma piernik do wiatraka, że tak to ujmę? POST i GET mogą iść jednocześnie i w tym konkretnym przypadku zapewne tak jest.

Moim pytaniem jest więc - czy to cały skrypt, czy jego część? Czy jest w nim w ogóle połączenie się z bazą danych? Jaki konkretnie błąd zwraca skrypt?

[MateuszS]

Polaczenie z baza jest OK. Mysle ze tu chodzi o hashowanie sha1. Poniewaz gdy je usunę, zmienie w bazie to i owo zeby nie bylo hasla hashowanego wszystko dziala ale po dodaniu hasha wszystko sie wali. Tabela ma nazwe sha_pass_hash jak zauwazyliscie (ja jej nie tworzylem) wiec chyba sha1 jest kodowanie. Teraz wywala caly czas ze zle haslo lub login

Tak to czesc wiekszego skryptu (jego poczatek)

PS prosze tez o rady jak go od SQL INj ochronic

Ten post edytował MateuszScirka 20.03.2009, 17:56:41

[Fifi209]

To pokaż nam przykładowy rekord z tabeli z hashami... jej nazwa nie musi mieć nic do zawartości.
Przy zapisywaniu i tak trzeba zapisać jako hash.

@edit
Co do zabezpieczeń przed SQLi, mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual, addslashes" title="Zobacz w manualu PHP" target="_manual

Ten post edytował fifi209 20.03.2009, 18:02:49

[MateuszS]

[SQL] pobierz, plaintext 
-- phpMyAdmin SQL Dump
-- version 3.1.3
-- http://www.phpmyadmin.net
--
-- Host: localhost
-- Czas wygenerowania: 20 Mar 2009, 18:04
-- Wersja serwera: 5.0.67
-- Wersja PHP: 5.2.6
 
SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";
 
 
/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
 
--
-- Baza danych: `realmd`
--
 
-- --------------------------------------------------------
 
--
-- Struktura tabeli dla  `account`
--
 
CREATE TABLE IF NOT EXISTS `account` (
  `id` bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT 'Identifier',
  `username` varchar(32) NOT NULL DEFAULT '',
  `sha_pass_hash` varchar(40) NOT NULL DEFAULT '',
  `gmlevel` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  `sessionkey` longtext,
  `v` longtext,
  `s` longtext,
  `email` varchar(320) NOT NULL DEFAULT '',
  `joindate` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `last_ip` varchar(30) NOT NULL DEFAULT '127.0.0.1',
  `failed_logins` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `locked` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  `last_login` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00',
  `online` tinyint(4) NOT NULL DEFAULT '0',
  `expansion` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  `mutetime` bigint(40) UNSIGNED NOT NULL DEFAULT '0',
  `locale` tinyint(3) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`id`),
  UNIQUE KEY `idx_username` (`username`),
  KEY `idx_gmlevel` (`gmlevel`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='Account System' AUTO_INCREMENT=5 ;
 
--
-- Zrzut danych tabeli `account`
--
 
INSERT INTO `account` (`id`, `username`, `sha_pass_hash`, `gmlevel`, `sessionkey`, `v`, `s`, `email`, `joindate`, `last_ip`, `failed_logins`, `locked`, `last_login`, `online`, `expansion`, `mutetime`, `locale`) VALUES
(1, 'ADMINISTRATOR', 'a34b29541b87b7e4823683ce6c7bf6ae68beaaac', 3, '', '0', '0', '', '2006-04-25 12:18:56', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0),
(2, 'GAMEMASTER', '7841e21831d7c6bc0b57fbe7151eb82bd65ea1f9', 2, '', '0', '0', '', '2006-04-25 12:18:56', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0),
(3, 'MODERATOR', 'a7f5fbff0b4eec2d6b6e78e38e8312e64d700008', 1, '', '0', '0', '', '2006-04-25 12:19:35', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0),
(4, 'player', 'player', 0, '', '0', '0', '', '2006-04-25 12:19:35', '127.0.0.1', 0, 0, '0000-00-00 00:00:00', 0, 0, 0, 0);
[SQL] pobierz, plaintext 

[artur_dziocha]

wyświtl sobie tablice $_POST, zahashowane hasło, może błędy w zapytaniu

[PHP] pobierz, plaintext 
<?php
$query = mysql_query($sql) or die(mysql_error());
?>
[PHP] pobierz, plaintext 

[MateuszS]

nie tego wina cos z kodowaniem... albo skladnia nie wiem

[artur_dziocha]

ale wyświetliłeś i porównałeś z baza??jakieś błędy wyskakują

[thomson89]

Może sie mylę mozę źle radzę.

Myślę ze kodujesz w inny sposób a hasło do porównania też w inny. Ale mogę się mylić.

Też kiedyś miałem logowanie jednego użytkownika, potem przeniosłem to na bazę, a potem dałem hashowanie i dluuuugo mi nie działało.

Kod

za pomocą echo sha1('tajnehaslo'); brałem shasowaną wersję hasła
dalej ręcznie kopiowałem to do bazy, update
i wpisywałem tajnehaslo w formularz

Miałem wtedy tylko jeden wiersz w tabeli, takze w koncu doszedłem co tam było. No, ale teraz nie pamiętam.

[MateuszS]

To moze ktos pozmienia ten skrypt, bo dosc chaotyczny jest

[erix]

To może przepiszesz go zgodnie ze wskazówkami? Na ogłoszenia/zlecenia jest odpowiedni dział.

[thomson89]

Ja bym to zrobił inaczej.

• Sprawdzamy wypełnienie formularza
• Łączymy się z bazą
• Ustawiamy krótkie zmienne
• Hashujemy hasło sha1
• Sprawdzamy czy jest taki uzytkownik:

  [SQL] pobierz, plaintext 
  SELECT * FROM userzy WHERE nazwa=login AND haslo=cohaslo
  [SQL] pobierz, plaintext 

• Wynik przepuszczamy przez num rows
• Jeżeli wynik<1 & wynik>2 błąd
• Jeżeli wynik = 1 mozemy zalogować uzytkownika

Wczesniej zrób to co napisałe post wczesniej i pórbuj aż ci wyjdzie.

To moze ktos pozmienia ten skrypt, bo dosc chaotyczny jest

Dlatego twórcy php, i nie tylko umożliwili dodawanie komentarzy, wcięć enterów, odstępów, tab, spacji itp. itd.

[PHP] pobierz, plaintext 
<?php
//*****************//
// WAZNACZYNNOSC //
//*****************//
 
                                                         //jakies objasnienie
 
//teraz robie to
 
/a tutaj zmieniam to na to
?>
[PHP] pobierz, plaintext 

[MateuszS]

Napisałem własne

[PHP] pobierz, plaintext 
<?php
if($_GET['opcja']=='logowanie') {
$user = mysql_real_escape_string($_POST['login']);
$pass = mysql_real_escape_string(sha1($_POST['password']));
$query=mysql_query("SELECT id,username,sha_pass_hash FROM `account`
                    WHERE username='$user' AND sha_pass_hash='$pass' ");
    if($query) {
    $_SESSION['log'] = '1234592';
    header("Location: store.php?id=17&opcja=panel");
    } else {
    echo 'Złe dane.';
    }
                    
    
 
 
}
?>
[PHP] pobierz, plaintext 

Jednak zawsze mnie przenosi do panelu ^^

[Fifi209]

Gdyż w zmiennej $query zawsze coś jest;d

Daj tam zamiast $query
$dane = mysql_fetch_assoc($query)

[MateuszS]

To znowu ja. Wiem na czym polega problem. Otóż: hasło które koduję i porównuję nie jest identyczne z tym które mam w bazie. Oto kod:

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$haslo = sha1($_POST['password']);
 
$query = mysql_query("SELECT * FROM `account`") or die(mysql_error());
$wynik = mysql_fetch_assoc($query);
 
if($login == $wynik['username'] && $haslo == $wynik['sha_pass_hash']) {
echo 'Zalogowany';
} else {
echo 'Nie zalogowany';
echo '<br /><br />';
echo $wynik['username'] . '<br />' . $login . '<br />' . $wynik['sha_pass_hash'] . '<br />' . $haslo;
}
?>
[PHP] pobierz, plaintext 

Login: ADMINISTRATOR hasło: administrator
Oto moje porównanie:

Kod

Nie zalogowany

ADMINISTRATOR
ADMINISTRATOR
a34b29541b87b7e4823683ce6c7bf6ae68beaaac
b3aca92c793ee0e9b1a9b0a5f5fc044e05140df3

JAk to naprawić?

Ten post edytował MateuszScirka 5.04.2009, 10:44:05

[decha-design]

jakim cudem hash sha1 z ADMINISTRATOR jest a34b29541b87b7e4823683ce6c7bf6ae68beaaac jak ja mam 25c5d184fd3c8e7d24af0e237c061f5480a5e86e ... o.O'

Ja nie wiem co ty tam robisz ...

Ten post edytował decha-design 5.04.2009, 10:48:23

[MateuszS]

napisałem przecież że hash z administrator a nie ADMINISTRATOR

[thomson89]

Myślę ze kodujesz w inny sposób a hasło do porównania też w inny. Ale mogę się mylić.

To znowu ja. Wiem na czym polega problem. Otóż: hasło które koduję i porównuję nie jest identyczne z tym które mam w bazie. Oto kod:

A nie mówiłem?