phpMyAdmin, MD5 Passwort

**wahsaga** · 11.12.2006, 23:31

Re: phpMyAdmin, MD5 Passwort

Schuss ins Blaue: magic_quotes_gpc?

**DragonGun** · 11.12.2006, 23:33

Danke für die schnelle Antwort, aber leider weiss ich nicht was du meinst

Bin leider nicht so versiert in der Materie wie Du vielleicht bemerkt hast

**jahlives** · 11.12.2006, 23:53

Damit meint er, dass er vermutet, dass bei der Übergabe des PW aus dem Formular ggf Zeichen automatisch von PHP escaped werden und dann natürlich der Hash Wert dieses String nicht mehr mit jenem aus der DB übereinstimmt.
Sobald du das Login Form abgeschickt hast, machst du auf dem Empfangsseite am besten mal ein

PHP-Code:


var_dump($_POST);

und suchst nach dem PW Feld. Steht das PW dort so wie es sollte oder sind ggf noch Backslashes drinn, welche PHP automatisch angefügt hat ?

Gruss

tobi

**DragonGun** · 12.12.2006, 00:00

Das einzige das ich damit rausbekomme ist:

Code:

array(2) { 0 }

Code:

array(2) { ["username"]=> string(5) "admin" ["zurueck"]=> string(6) "Zurück" }

**Griecherus** · 12.12.2006, 00:02

Und wer hat das Passwort gefressen?

**jahlives** · 12.12.2006, 00:14

Und welches davon ist dein PW ? Kann es sein, dass dieses Feld in diesem Array gar nicht vorkommt ? Oder ist es das Feld 'zurueck' ? Was eine sehr gute Wahl für den Namen eines PW Feldes wäre

Also vllt postest du mal einen Auszug deines Forms und ggf ein paar Zeilen deines verarbeitenden Codes. Aber bitte nicht alles sondern nur die Zeilen wo es um die Prüfung der Login Daten geht +- max 10 Zeilen.

Gruss

tobi

**DragonGun** · 12.12.2006, 00:19

Login:

PHP-Code:


<?php

session_start();

require("connect.inc.php");

?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

    <title>Login</title>

  <link rel="stylesheet" type="text/css" href="site/inhalt.css">

  </head>

  <body>

  <?php if(!isset($_POST['submit'])) { ?>

  <form action="<?php $PHP_SELF ?>" method="post">



......



<?php

  }elseif(!$_POST['username'] || $_POST['username'] == "") {

    echo '<p align="center">Einen Benutzernamen brauchen wir schon ;-)<br><br><a href="index.php">Zurück</a></p>';

  }elseif(!$_POST['password'] || $_POST['password'] == "") {

    echo '<form action="index.php" method="post">';

    echo '<p align="center">Ein Passwort brauchen wir schon ;-)<br><br>';

    echo '<input type="hidden" name="username" value="'.$_POST['username'].'">';

    echo '<input type="submit" name="zurueck" value="Zurück">';

    echo '</p>';

    echo '</form>';

  }else{

    $password = md5($password);

    $query = @mysql_query("SELECT user, pass FROM users WHERE user = '".$_POST['username']."'") or die('Select ist fehlgeschlagen!');

    $result = @mysql_fetch_array($query) or die('<p align="center">Sorry, aber dieser Benutzername existiert nicht!<br><a href="index.php">Zurück</a></p>');

    if($password != $result['pass']){

      echo '<form action="index.php" method="post">';

      echo '<p align="center">Sorry, aber dieses Passwort ist falsch!<br><br>';

      echo '<input type="hidden" name="username" value="'.$_POST['username'].'">';

      echo '<input type="submit" name="zurueck" value="Zurück"></p>';

      echo '</form>';

      die;

    }else{

      $user = $result['user'];

      session_register('user');

      echo '<p align="center">Login erfolgreich! :-)<br><br><a href="site/index.php">Weiter</a></p>';

    }

  }

  ?>

index.php:

PHP-Code:


<?php

  session_start();

  if(!session_is_registered('user') || $_SESSION['user'] == "") {

    header("location:index.php");

    die;

  }

  var_dump($_POST);

  ?>

**jahlives** · 12.12.2006, 00:23

Also meine Glaskugel findet jetzt dass es wohl an register globals liegen könnte Schreibe mal statt

PHP-Code:


$password = md5($password);

einfach

PHP-Code:


$password = md5($_POST['password']);

Wobei sich mir aber immer noch die Frage stellt warum dein POST Array kein Feld password enthalten hat. Vllt hast du den dump an der falschen Stelle gemacht

Gruss

tobi

**DragonGun** · 12.12.2006, 00:34

Kann gut sein dass ichs an der falschen Stelle eingefügt habe, aber der Tip mit den register globals hat voll gepasst.

Vielen vielen Dank!! Ich geb Dir n Bier aus

**Griecherus** · 12.12.2006, 00:37

Original geschrieben von DragonGun
Vielen vielen Dank!! Ich geb Dir n Bier aus

OffTopic:
Soetwas könnte man doch mal einführen... nach jeder erfolgreichen Hilfestellung ein Bier ausgegeben bekommen.
Entschuldigt den OT.

**jahlives** · 12.12.2006, 01:17

Vielen vielen Dank!! Ich geb Dir n Bier aus

Bitte gerngeschehen, aber freu dich nicht zu früh

Du hast noch andere Fehler/Don't dos drin

PHP-Code:


<form action="<?php $PHP_SELF ?>" method="post">

//besser

<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">

<?php

if(!session_is_registered('user') || $_SESSION['user'] == "") {

//besser

if(isset($_SESSION['user']) && !empty($_SESSION['user'])){

//session_is_registered() ist veraltet !

header("location:index.php");

//besser

header("Location: http://deineDomain.de/index.php");

//header + Location sollten immer mit absoluten Pfaden gehandhabt werden

Gruss

tobi

p.s. schick mir das Bier doch als Attachment

**DragonGun** · 12.12.2006, 11:52

Danke, habs mir notiert und werds ändern sobald ich dazu komme.
Bin jetzt erst mal froh dass es funktioniert mit dem einloggen

Hier noch dein Bier, frisch gezapft

phpMyAdmin, MD5 Passwort