[HTML][MySQL][PHP]Sprawdzanie hasła md5. Opcje

[Gruchol]

Witam,

Napisałem takie coś :

[PHP] pobierz, plaintext 
<!DOCTYPE HTML>
<html lang="pl">
<head>
<title>Sklepik</title>
</head>
<body>
 
 
 
<?php
$db = mysqli_connect('localhost', 'root', '', 'sf');
 
$id = $_GET['player'];
$nick = mysqli_query($db, "SELECT user_name FROM user_data WHERE user_id='$id'");
$user_name = $nick->fetch_assoc()['user_name'];
$grzybki = mysqli_query($db, "SELECT mushroom FROM user_data WHERE user_id='$id'");
$grzybkiwyswietl = $grzybki->fetch_assoc()['mushroom']; 
$zloto = mysqli_query($db, "SELECT silver FROM user_data WHERE user_id='$id'");
$zlotowyswietl = $zloto->fetch_assoc()['silver']; 
 
echo "<center><h1>Witaj w sklepiku $user_name!</h1></center>";
echo "<center><h3>Aktalnie posiadasz $grzybkiwyswietl grzybkow oraz $zlotowyswietl zlota</h3></center>";
 
?>
<center>
<form method="post" action="">
<b>Zresetowanie lochów(bez kluczy)</b>
<br/>
<b>Aby potwierdzić wpisz hasło : </b>
<input type="password" name="haslo"/>
<br/>
<br/>
<input type="submit" value="30 grzybków"/></center>
</form>
<?php
$db = mysqli_connect('localhost', 'root', '', 'sf');
$haslozbazy = mysqli_query($db, "SELECT password FROM user_data WHERE user_name='$user_name'");
@$haslozsklepu = $_POST["haslo"];
if($haslozbazy["haslo"] == md5($haslozsklepu)) {
	mysqli_query($db, "UPDATE user_data SET dungeon_1 = '0', dungeon_2 = '0', dungeon_3 = '0', dungeon_4 = '0', dungeon_5 = '0', dungeon_6 = '0', dungeon_7 = '0', dungeon_8 = '0' WHERE user_name = '$user_name'");
}
else {
	echo "Haslo jest bledne";
}
if($haslozesklepu == '') {
 
	echo "Pole jest puste";
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

I mam problem z ifem który sprawdza hasło.
Gdy wywale tego ifa wszystko działa ok.
Hasło w bazie jest zahaszowane w md5.
Próbuje się przestawić z MySQL na MySQLi i nie wiem czy wszędzie zastosowałem właśnie MySQLi.
Proszę o sprawdzenie i pozdrawiam.

[Damonsson]

A nie przyszło Ci do głowy, np. wyświetlić obydwie (a w sumie trzy nawet) zmienne i swoim bystrym wzrokiem porównać czy są takie same?

[Gruchol]

Przed ifem dopisałem echo "$haslozbazy || $haslozsklepu"; i wyświetla się :
Catchable fatal error: Object of class mysqli_result could not be converted to string in E:\XAMPP\htdocs\sfgame\legal\shop.php on line 39

[Damonsson]

No widzisz, to już doszedłeś do wniosku, że źle pobierasz string z bazy danych.

Teraz pytasz Google o: mysqli get value

i po paru godzinach prób dopiero wracasz na forum, jak nadal sobie nie możesz poradzić z pobraniem wartości.

[Gruchol]

Kompletnie zapomniałem o tym.
Na początku gdy pobierałem nazwę użytkownika to zrobiłem dobrze.

Dopisałem $haslozbazy1 = $haslozbazy->fetch_assoc()['password'];
I teraz wyświetla się hasło które wpisałem w polu oraz zahaszowane hasło z bazy.
Tylko teraz jak zrobić aby hasło się haszowało przed wysłaniem go do bazy?

[Damonsson]

Przed wysłaniem robisz

[PHP] pobierz, plaintext 
$hasloDoBazy = md5($haslo)
[PHP] pobierz, plaintext 

i dopiero pakujesz do bazy.

Ten post edytował Damonsson 31.12.2014, 17:10:59

[Gruchol]

@Edit
Wszystko już działa oprócz 1.

[PHP] pobierz, plaintext 
if($haslozbazy1 == $haslozsklepu1 and $grzybkiwyswietl >= '10') {
	mysqli_query($db, "UPDATE user_data SET dungeon_1 = '0', dungeon_2 = '0', dungeon_3 = '0', dungeon_4 = '0', dungeon_5 = '0', dungeon_6 = '0', dungeon_7 = '0', dungeon_8 = '0', mushroom=mushroom-30 WHERE user_name = '$user_name'");
}
else {
	echo "<center><font color=red>Haslo jest bledne lub nie masz wystarczajacej ilosci grzybkow.</center></font>";
}
[PHP] pobierz, plaintext 

Tak wygląda if i problem jest taki, że jak się wejdzie na stronę ( nie klikając ani nie wpisując nic ) strona wyświetla treść else.
Czyli tj. formularz sam się wysyła nie podając żadnych wartości w pole hasła.

Ten post edytował Gruchol 31.12.2014, 18:46:18

[com]

no bo nie masz warunku który to sprawdza, tłumaczyłem Ci to przecież ostatnio a dalej robisz ten sam bład

[Gruchol]

Zamieniłem tego ifa na if(!empty($haslozbazy1 == $haslozsklepu1 and $grzybkiwyswietl >= '30')) { i nadal się sam wysyła. ( chyba o to chodziło )

[Rysh]

albo if empty albo if == zdecyduj się.

[PHP] pobierz, plaintext 
$nick = mysqli_query($db, "SELECT user_name FROM user_data WHERE user_id='$id'");
$user_name = $nick->fetch_assoc()['user_name'];
$grzybki = mysqli_query($db, "SELECT mushroom FROM user_data WHERE user_id='$id'");
$grzybkiwyswietl = $grzybki->fetch_assoc()['mushroom']; 
$zloto = mysqli_query($db, "SELECT silver FROM user_data WHERE user_id='$id'");
$zlotowyswietl = $zloto->fetch_assoc()['silver'];
[PHP] pobierz, plaintext 

Po cholerę robisz tyle zapytań do bazy danych? Nie możesz dać:

[PHP] pobierz, plaintext 
$zloto = mysqli_query($db, "SELECT user_name, mushroom, silver FROM user_data WHERE user_id='$id'");
[PHP] pobierz, plaintext 

BTW, Twój kod jest strasznie napisany - pobierasz ID użytkownika z GET, czyli z linku - modyfikując link mogę zmienić każdemu co tylko chcę. nie wspominając już o sql injection.

Ten post edytował Rysh 31.12.2014, 19:19:45

[Gruchol]

Z tego get zrezygnuje i zrobię to inaczej postem.

Co do twojego zapytania które zrobiłeś w innej linijce, zobacz, że ja wyświetlam każdą zmienną osobno i każda jest mi z osobna potrzebna.

Prosił bym jeszcze o pomoc z zablokowaniem tego aby formularz po wejściu sam się nie wysyłał.

Napisałeś, że kod jest okropny lecz zauważ że znajdujemy się w dziale przedszkole gdzie nie można się spodziewać najlepiej zabezpieczonego i zoptymalizowanego kodu a ja w php piszę od 2 dni.
Dziękuję za cenne uwagi.

Ten post edytował Gruchol 31.12.2014, 19:37:36

[untorched]

[PHP] pobierz, plaintext 
if(isset($_POST['submit']))
{
   // wykonaj jesli zostaly wprowadzone dane
}
else
{
   // Wyswietl formularz
}
[PHP] pobierz, plaintext 

Ten post edytował untorched 31.12.2014, 19:56:59

[Gruchol]

Nie za bardzo wiem jak to zrobić.

Próbowałem tak :

[PHP] pobierz, plaintext 
if(isset($_POST['submit'])) {
	if($haslozbazy1 == $haslozsklepu1 and $grzybkiwyswietl >= '30') {
	mysqli_query($db, "UPDATE user_data SET dungeon_1 = '0', dungeon_2 = '0', dungeon_3 = '0', dungeon_4 = '0', dungeon_5 = '0', dungeon_6 = '0', dungeon_7 = '0', dungeon_8 = '0', mushroom=mushroom-30 WHERE user_name = '$user_name'");
	}
	else {
		echo "<center><font color=red>Haslo jest bledne lub nie masz wystarczajacej ilosci grzybkow.</center></font>";
	}
}	
[PHP] pobierz, plaintext 

Jednak teraz to kompletnie nic nie działa.

Ten post edytował Gruchol 31.12.2014, 20:32:29

[com]

tak jak masz jest ok jednakże zmień

[HTML] pobierz, plaintext 
<input type="submit" value="30 grzybków"/>
[HTML] pobierz, plaintext 

na

[HTML] pobierz, plaintext 
<input type="submit" name="submit" value="30 grzybków"/>
[HTML] pobierz, plaintext 

[Gruchol]

Zrobiłem to tak :

[PHP] pobierz, plaintext 
if(!empty($_POST["haslo"]))
{
$db = mysqli_connect('localhost', 'root', '', 'sf');
$haslozbazy = mysqli_query($db, "SELECT password FROM user_data WHERE user_name='$user_name'");
$haslozbazy1 = $haslozbazy->fetch_assoc()['password'];
@$haslozsklepu = $_POST["haslo"];
$haslozsklepu1 = md5($haslozsklepu);
//echo "<center><font color=red>Haslo jest bledne lub nie masz wystarczajacej ilosci grzybkow.</center></font>";
if($haslozbazy1 == $haslozsklepu1 and $grzybkiwyswietl >= '30') {
	mysqli_query($db, "UPDATE user_data SET dungeon_1 = '0', dungeon_2 = '0', dungeon_3 = '0', dungeon_4 = '0', dungeon_5 = '0', dungeon_6 = '0', dungeon_7 = '0', dungeon_8 = '0', mushroom=mushroom-30 WHERE user_name = '$user_name'");
}
}
[PHP] pobierz, plaintext 

Jednak cały czas dzieje się to samo.
Jak kliknę w 1 wysyłają się wszystkie.
Takich opcji jak wkleiłem up. mam z 4 i w każdej mam tak samo zastosowane if(!empty

Ten post edytował Gruchol 1.01.2015, 21:51:01

[com]

no bo w każdym formularzu masz taki same imputy, wiec spełniają sie wszystkie warunki a wysyła sie tylko jeden, sory kolego ale bez podstaw na ten temat nie zrobisz nic, poczytaj trochę a potem zabierz się za pisanie tego i nie pisz do mnie na pw tylko tutaj

Masz straszny balagan w tym kodzie jak nie potrafisz sobie poradzić, żeby działało kilka formularzy w 1 pliku to rozłóż to na więcej, a najlepiej po prostu pozmieniaj pola name w tych formach na unikatowe dla każdego, no i skoro wszystkie formularze wyświetlasz od razu to poco przeplatasz miedzy nimi te kody, w 1 miejscu je odbieraj a potem wyświetlaj je wszystkie, bo masz straszny bałagan i sam się w tym potem gubisz