Problem mit Vergleich von GET Übergabe und SQL Übergabe

**asp2php** · 19.06.2008, 13:18

Zunächst mal http://www.das-dass.de/ dann Regel lesen: http://www.php-resource.de/forum/sho...threadid=50454 dann mach dich schlau über SQL-Injection

Nun zum Problem:

1. name ist reserviertes Wort, pack den Spaltennamen in Backsticks
2. hast du eventuell Leerzeichen im Namen in der DB bzw. bei der Eingabe? Prüfe mal.

**derspoon** · 19.06.2008, 13:22

sei doch net so grantig

Es geht nicht um die Namen, es geht um das Passwaort (pw)

Wenn ich ein ECHO erstelle sind $pw und $row->pw gleich, aber die Abfrage gibt immer ein true aus.

**onemorenerd** · 19.06.2008, 13:34

Der wichtige Teil des Codes in bunt:

PHP-Code:


while($row = mssql_fetch_object($ergebnis)) {

    if ($pw != $row->pw) {

        echo " Hallo, dein Password ist Falsch";

        exit();

    }

    echo "$row->pw = $pw";

    setcookie("name", "$row->name", time()+(60*60*24*30), "/");

    // weitere setcookie() ...

    echo " ... erfolgreich eingeloggt. Du wirst gleich weitergeleitet";

}

Lies mal die Stickies in diesem Board, besonders die Passagen zu error_reporting und "cannot modify header information". Dann weißt du, warum deine Debug-Ausgabe vor setcookie() gar schlecht platziert ist.

Außerdem solltest du dir mssql_error() ausgeben lassen.

Warum brauchst du eigentlich eine Schleife? Ein Benutzername ist doch hoffentlich eindeutig, d.h. es gibt genau einen oder gar keinen Treffer in der DB.

Gibt es einen Grund, dass du mit Cookies arbeitest? Was spricht gegen Sessions?

Last but not least: Passwörter sollten niemals per GET übergeben werden!

**asp2php** · 19.06.2008, 13:35

Ähm ... was denn nun

entscheide dich, Abfrage true oder false, und wenn Abfrage dann hat sie erstmal nichts mit dem Passwort zu tun, sondern Namen (in Where-Klausel).

**derspoon** · 19.06.2008, 13:37

Das echo vor der Cookieeingtragung ist nur derzeit vorhanden um zu prüfen ob $pw = $row->pw ist, das wird wieder gelöscht.

Es gibt nur einen Eintrag zu jeder Person das stimmt. Wie kann ich das anders lösen? Btw. welchen Code müßte ich setzten um zu prüfen, das das Passwort ($pw) = dem DB Passwort ist ?

True ^^

Es geht eigentlich nur darum, dass die Abfrage

PHP-Code:


        if ($pw != $row->pw)

        {

            echo " Hallo, dein Password ist Falsch";

            exit();

        }

Immer TRUE zutrifft, auch wenn das Passwort ($pw) mit dem DB passwort übereinstimmt.

Against Sessions
Ich hab keine Ahnung von Sessions. Es handelt sich auch nur um eine kleine Intranetseite, die also nicht mit dem Internet in Verbindung gebracht wird. Daher spielt sicherheit dort ein kleine Rolle. Ist bisher auch nur in der Programmierung, aber ich werde das PW via POSt übergeben.

**onemorenerd** · 19.06.2008, 14:09

Original geschrieben von derspoon
Es gibt nur einen Eintrag zu jeder Person das stimmt. Wie kann ich das anders lösen? Btw. welchen Code müßte ich setzten um zu prüfen, das das Passwort ($pw) = dem DB Passwort ist ?

PHP-Code:


$sql = "SELECT 1 FROM usr WHERE usr.name = '".$_POST['name']."'"

       ." AND pw = MD5('".$_POST['pw']."')";

$res = mssql_query($sql) or die(mssql_error());

$access = (mssql_num_rows($res) == 1);

MD5 soll ein Wink mit dem Zaunpfahl sein.

**wshbg** · 19.06.2008, 14:13

Die while Schleife nach dem select ist überflüssig, da die Abfrage in der Regel nur einen Datensatz liefern sollte, evtl. prüfen mit mysql_num_rows().
Deine "Überprüfung"

Code:

echo "$row->pw = $pw";

ist keine, sondern eine Zuweisung. Und (wurde schon gefragt), hast du evtl. Leerzeichen in der DB oder in dem per GET übermittelten pw?
Wilfried

**H2O** · 19.06.2008, 14:19

Original geschrieben von asp2php
1. name ist reserviertes Wort, pack den Spaltennamen in Backsticks[/B]

Backticks in MSSQL?

**H2O** · 19.06.2008, 14:28

Original geschrieben von wshbg
Deine "Überprüfung"

Code:

echo "$row->pw = $pw";

ist keine, sondern eine Zuweisung.

Wo siehst du so etwas?

**derspoon** · 19.06.2008, 14:32

Das echo ist ja auch nicht die Abfrage, sondern die if abfrage ergibt immer true bzw. stimmt immer obwohl das PW richtig ist.

In der Datenbank ist in der PW Spalte kein Leerzeichen, ich habe nur 15 Zeichen zulässig und ein PW mit 6 Zeichen, aber das sollte ja kein Problem darstellen.

Ich habe das gleiche Problem aber auch bei anderen Vergleichen von Variablen und Datenbankausgaben. Ich verstehe den Fehler nicht, da ich über ein Echo den Wert der Variablen und der DBAusgabe immer prüfen und meine Abfrage sollte funktionieren.

Echo " $pw = $row->pw " ergibt 123456 = 123456

**asp2php** · 19.06.2008, 14:35

Original geschrieben von H2O
Backticks in MSSQL?

Habe anfangs nicht genau hin geguckt

für MSSQL natürlich []

**asp2php** · 19.06.2008, 14:38

Original geschrieben von derspoon

Es geht eigentlich nur darum, dass die Abfrage

PHP-Code:

if ($pw != $row->pw) { echo " Hallo, dein Password ist Falsch"; exit(); }

Immer False zutrifft, auch wenn das Passwort ($pw) mit dem DB passwort übereinstimmt.

Natürlich ist sie false, wenn die Passwörter übereinstimmen, was willst du noch

**derspoon** · 19.06.2008, 14:48

hab doch schon geschrieben, das sie TRUE ist ^^

Also egal ob ich das Richtige PW oder das Falsche eintragen, jedesmal kommt der Satz.

Ich hab das gleiche Problem wenn ich eine Variable mit einer DBVariable vergleiche, es stimmt nie überein.

Über ein ECHO sehe ich aber das beide Variablen übereinstimmen.

**H2O** · 19.06.2008, 14:50

Original geschrieben von derspoon
Echo " $pw = $row->pw " ergibt 123456 = 123456

Was ergibt

PHP-Code:


echo ":$pw::$row->pw:";

?

Problem mit Vergleich von GET Übergabe und SQL Übergabe