PHP Login/Register mit User Id

Vince · 20. November 2012

Ich wurde gestern darauf angesprochen, in meinem Login System die Abfragen mit einer User_ID zu machen, da die User-ID nur 1x vorhanden ist.

Mein Login System funktioniert folgendermassen:

In einem Formular werden Username und Passwort eingelesen.
Jetzt werden die eigegebenen Sachen überprüft:

Code

$username=$_POST['username']; 
$password=md5($_POST['password']);

Vor MySQL Injektion schützen:

Code

$username = stripslashes($username);
$password = stripslashes($password);
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);
$sql="SELECT * FROM $tbl_name WHERE username='$username' and password_md5='$password'";
$result=mysql_query($sql);

Jetzt werden die gefundenen Datensätze gezählt:

Code

$count=mysql_num_rows($result);

Wenn 1 gefunden wurde, Session registrieren, ansonsten wieder zur Login-Page:

Code

if($count==1){


session_register("username");
session_register("password");
session_start();
$_SESSION['username'] = $username;
$_SESSION['password'] = $password;


header("location:login_success.php");
}
else {
include('main_login.php');

Alles anzeigen

Verbesserungsvorschläge zur Sicherheit?
Wie kann ich das mit einer User-ID lösen?

Einfach bei der SQL Abfrage SELECT user_id FROM ... ?

Gruss
Vince

Cal44 · 20. November 2012

$password=md5($_POST['password']);

md5 ist nicht mehr sicher genug.. verwende bitte ein anderes.

$sql="SELECT * FROM $tbl_name WHERE username='$username' and password_md5='$password'";
zu
$sql="SELECT * FROM `$tbl_name` WHERE `username`='$username' and `password_md5`='$password'";
(bin drüber geflogen)
Lg

Vince · 20. November 2012

Wegen der Passwortverschlüsselung muss ich schauen.
Da es ein Control-Panel ist und die Daten vom Game-Server auf md5 gespeichert werden.

Wozu dienen die ` ?

Gruss
Vince

OfflineFlucht · 20. November 2012

Dein Login/Register System ist wirklich sehr gut gemacht.

Vince · 20. November 2012

Danke

Jetzt müsste ich nur noch wissen, wie man das mit der eindeutigen User-ID macht.^^

Gruss
Vince

Kaliber · 20. November 2012

Zitat von Vince

Wozu dienen die ` ?

Es sind Hash Codes, sie dienen zur Verschlüsselung der Daten und machen sie so vor "Hackern" sicher.
http://de.wikipedia.org/wiki/Hashfunktion

Zitat von Vince

Danke
Jetzt müsste ich nur noch wissen, wie man das mit der eindeutigen User-ID macht.
Gruss
Vince

Dazu erstellst du eine neue Spalte in deiner MySQL-Tabelle und nennst diese id, id = Integer und klicke auf den Haken bei Auto_Increment, damit die Zahl für jeden neuen Eintrag hoch geht
und dann kannst du damit arbeiten:
$id = mysql_query("SELECT id FROM `$tbl_name` WHERE username='$username' and password_md5='$password'");
so und jetzt kannst du immer id verwenden, sprich sowas:
$sql="SELECT * FROM $tbl_name WHERE id='$id'";

mfg.

Vince · 20. November 2012

Danke für die Info.

Ich habs versucht. Leider funktioniert der Login nicht mehr und ich weiss nicht, wie ich herausfinden kann, warum.

Ich habe die SQL Statements selber in der Konsole ausgeführt.

Code

$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username='$myusername' and password_md5='$mypassword'");

gibt

Code

+---------+
| user_id |
+---------+
|       1 |
+---------+
1 row in set (0.00 sec)

Code

$sql="SELECT * FROM `$tbl_name` WHERE user_id='$id'";

gibt

Code

+---------+----------+----------------------------------+---------------------+---------------------+-------+------------+-------------+-------+--------+-------+-----------+--------+---------+
| user_id | username | password_md5                     | last_login          | created_at          | money | bank_money | bank_credit | level | points | fr_id | fr_leader | job_id | skin_id |
+---------+----------+----------------------------------+---------------------+---------------------+-------+------------+-------------+-------+--------+-------+-----------+--------+---------+
|       1 | Vince    | 81dc9bdb52d04dc20036dbd8313ed055 | 2012-11-12 08:24:21 | 2012-02-15 08:24:26 | 20837 |     120000 |           0 |    12 |      5 |     1 |         1 |      6 |      18 |
+---------+----------+----------------------------------+---------------------+---------------------+-------+------------+-------------+-------+--------+-------+-----------+--------+---------+

Dann

Code

$result=mysql_query($sql);

Code

$count=mysql_num_rows($result);

Code

if($count==1){


session register blabla

Gruss
Vince

xGreekz7x · 20. November 2012

wenn es dir das ausgibt dann ist es richtig
dann hast du wo anders nen fehler

Vince · 20. November 2012

Zitat von .: xGreekz7x :.

dann hast du wo anders nen fehler

Kann aber fast nicht sein.
Alles, was ich geändert habe, sind die 2 Statements:

Code

$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username='$username' and password_md5='$password'");

Code

$sql="SELECT * FROM $tbl_name WHERE user_id='$id'";

Gruss
Vince

xGreekz7x · 20. November 2012

Zeig mal den Abschnitt -+ 10 Zeilen.

Vince · 20. November 2012

PHP

<?php
//Zur Datenbank verbinden
include("mysql_connect.php");
// Username und Passwort vom Formular
$username=$_POST['username']; 
$password=md5($_POST['password']); 


// Schutz vor MySQL Injektion
$username = stripslashes($username);
$password = stripslashes($password);
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);
$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username='$username' and password_md5='$password'");
$sql="SELECT * FROM `$tbl_name` WHERE user_id='$id'";
$result=mysql_query($sql);


// Zählen..
$count=mysql_num_rows($result);


// Wenn 1 dann..
if($count==1){


// Session registrieren und auf Startseite
session_register("username");
session_register("password");
session_start();
$_SESSION['username'] = $username;
$_SESSION['password'] = $password;


header("location:login_success.php");
}
else {
//Zurück zur Loginseite
include('main_login.php');
}
?>

Alles anzeigen

Gruss
Vince

LeijaT · 20. November 2012

Code

$sql="SELECT * FROM $tbl_name WHERE user_id='$id'";

muss zu

Code

$sql = "SELECT * FROM ".$tbl_name." WHERE user_id = '".$id."'";

und es sollte gehen.

Klemmlampe · 20. November 2012

Zitat

Es sind Hash Codes, sie dienen zur Verschlüsselung der Daten und machen sie so vor "Hackern" sicher.

Nein. Das sind Quotes.

LeijaT: Völlig egal, PHP akzeptiert Variablen in Doublequotes, in Singlequotes hingegen wäre das Verbinden notwendig.

Vince:

SQL

$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username='$username' and password_md5='$password'");
$sql="SELECT * FROM `$tbl_name` WHERE user_id='$id'";

Du müsstest $id noch fetchen aber wozu das ganze? Einfach direkt alles über den Nutzernamen holen, dann ist da sogar die ID danke Wildcard dabei.

Vince · 20. November 2012

Zitat von dead
Nein. Das sind Quotes.

LeijaT: Völlig egal, PHP akzeptiert Variablen in Doublequotes, in Singlequotes hingegen wäre das Verbinden notwendig.

Vince:
SQL
$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username='$username' and password_md5='$password'");
$sql="SELECT * FROM `$tbl_name` WHERE user_id='$id'";
Du müsstest $id noch fetchen aber wozu das ganze? Einfach direkt alles über den Nutzernamen holen, dann ist da sogar die ID danke Wildcard dabei.
Alles anzeigen

Danke für die Infos

Es geht aber leider immer noch nicht^^
Hab den Vorschlag von dir und Leijat versucht.

Gruss
Vince

LeijaT · 20. November 2012

Zeig mal her, dein neues Meisterwerk. Dann sind wir wenigstens auf dem aktuellen Stand

Vince · 20. November 2012

SQL

<?php
include("mysql_connect.php");
// username and password sent from form 
$username=$_POST['username']; 
$password=md5($_POST['password']); 


// To protect MySQL injection (more detail about MySQL injection)
$username = stripslashes($username);
$password = stripslashes($password);
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);
/*ALT $sql="SELECT * FROM `$tbl_name` WHERE `username`='$username' and `password_md5`='$password'"; ALT*/
$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username='$username' and password_md5='$password'");
$sql="SELECT * FROM `$tbl_name` WHERE user_id='$id'"; ( Habs auch mit $sql = "SELECT * FROM ".$tbl_name." WHERE user_id = '".$id."'"; versucht )
$result=mysql_query($sql);


// Mysql_num_row is counting table row
$count=mysql_num_rows($result);


// If result matched $username and $password, table row must be 1 row
if($count==1){


// Register $username, $password and redirect to file "login_success.php"
session_register("username");
session_register("password");
session_start();
$_SESSION['username'] = $username;
$_SESSION['password'] = $password;


header("location:login_success.php");
}
else {
include('main_login.php');
}
?>

Alles anzeigen

EDIT: Wo muss ich denn fetchen?^^

Gruss
Vince

Ternary · 20. November 2012

Zitat von Kaliber

Es sind Hash Codes, sie dienen zur Verschlüsselung der Daten und machen sie so vor "Hackern" sicher.
http://de.wikipedia.org/wiki/Hashfunktion

Wasch laberst du?
Das sind keine Hash Codes sondern Backticks (`) und die sind im Prinzip das selbe wie die Apostrophe ('), werden aber bei MySQL speziell zur Kennzeichnung von Tabellen-, Datenbank- oder Spaltennamen verwendet.

BTT:
Ich frage mich, warum du umstellst? Ein Username ist meiner Meinung nach im idealfall auch einmalig.

Klemmlampe · 20. November 2012

Zitat

Du müsstest $id noch fetchen aber wozu das ganze? Einfach direkt alles über den Nutzernamen holen, dann ist da sogar die ID danke Wildcard dabei.

Ich sehe nicht, dass du das umgesetzt hast.

Vince · 20. November 2012

Zitat

EDIT: Wo muss ich denn fetchen?

Einfach $row = mysql_fetch_row($id); ?
Nach der mysql_query oder wohin?

Gruss
Vince

xGreekz7x · 20. November 2012

PHP

$id = mysql_query("SELECT user_id FROM `$tbl_name` WHERE username=".'$username."' and password_md5='".$password."'");
$userid = mysql_fetch_field($id);
$sql="SELECT * FROM `$tbl_name` WHERE user_id='$id'";

Habe gerade fetch_field nicht im Kopf, sollte aber gehen.

MfG