[PHP] MySQL Werte ausgeben

Sharpadox · 14. Dezember 2012

Okay, ich denke ich habe das fetch_array jetzt verstanden, aber jetzt immer wenn ich mein Passwort eingebe, sagt der "Erfolgreich eingeloggt!" egal was ich eingebe o;

PHP

$checkpass = "SELECT `Passwort` FROM `accounts` WHERE `Name` = '".$username."' LIMIT 1;";
	$pass_erg = mysql_query($checkpass);
	$checkpw = mysql_fetch_array($pass_erg);


    if($username == "" or $passwort == "") {
		echo "Du hast nicht alle Felder ausgefüllt!";
		exit;
	}
	else if($checkpw['Passwort'] == md5($checkpw['Passwort']));
	{
		echo "Erfolgreich eingeloggt!";
		exit;
	}

Alles anzeigen

TutNichts · 14. Dezember 2012

PHP

else if($checkpw['Passwort'] == md5($checkpw['Passwort']));

schau dir die Zeile doch mal genauer an, selbst an "qualifizierter Scripter" im Bereich Pawn muss man da die Fehler sehen.

Florian77711 · 14. Dezember 2012

Moment, dein Code kann eigentlich nicht funktionieren, da $checkpw['Passwort'] == md5($checkpw['Passwort']) nie erfüllt sein kann.

ich glaube da gehört $checkpw['Passwort'] == md5($passwort) hin.
//Edit: TutNichts war schneller

Sharpadox · 14. Dezember 2012

Also so langsam Check ich nicht mehr ;/

Auch wenn ich jetzt mache

PHP

else if($passwort == md5($user['Passwort']));

Der sagt IMMER "Erfolgreich eingeloggt!"

Florian77711 · 14. Dezember 2012

kleiner Tipp zum Debuggen: Am besten ganz oben im Script error_reporting(E_ALL); einfügen, dann gibt dir PHP alle Errors und Warnings aus.
Ansonsten: den Inhalt einer Variable kann man sich immer schön mit echo ausgeben.

//Edit: Rechtschreibung

TutNichts · 14. Dezember 2012

1. was hat bitte ein Simikolon am Ende einer Abfrage verloren?
2. desweiteren, was fragst du $passwort (leere Variable laut deinem "Script") mit $user['Passwort'] ab?

Sharpadox · 14. Dezember 2012

Zitat von TutNichts

1. was hat bitte ein Simikolon am Ende einer Abfrage verloren?

Das habe ich nicht bemerkt, aber jetzt wo es weg ist, steht da nix mehr o.o

Zitat von TutNichts

2. desweiteren, was fragst du $passwort (leere Variable laut deinem "Script") mit $user['Passwort'] ab?

$passwort ist nicht leer.. Das ist das, was der Spieler beim Passwort eingibt

PHP

$passwort = $_POST["Passwort"];

TutNichts · 14. Dezember 2012

lass dir doch ma' 'n paar Sachen mit print_r ausgeben.

Sharpadox · 14. Dezember 2012

Also wenn ich es so habe:

PHP

print_r("\$sql = $sql"); echo "<br>";
	print_r("\$db_erg = $db_erg"); echo "<br>";
	print_r("\$passwort = $passwort"); echo "<br>";
	print_r("\$username = $username"); echo "<br>";
	print_r("\$user['Passwort'] = ",md5($user['Passwort']));

Zeigt er alles richtig an (denke ich) aber die letzte Zeile zeigt der nix an..

PHP

$sql = SELECT * FROM accounts WHERE Name = 'Sh12'
$db_erg = Resource id #4
$passwort = ************
$username = Sh12

Florian77711 · 14. Dezember 2012

mach statt dem , einen . bei dem letzten

Sharpadox · 14. Dezember 2012

Dann sieht es so aus:

PHP

$sql = SELECT * FROM accounts WHERE Name = 'Zalo7'
$db_erg = Resource id #4
$passwort = ************
$username = Sh12
$user['Passwort'] = f35762fc7c173d0a1ffa31e3dafecfbe

Florian77711 · 14. Dezember 2012

Moment, $user['Passwort'] ist ja der String, den du aus der Datenbank bekommst, oder?
Dann gehört ja nicht der mit md5 gehasht, sondern das eingegebene Passwort, oder?
Diese müsstest du dann miteinander vergleichen...

Florian77711 · 14. Dezember 2012

jap, doppeltes hashen ist ja eigentlich auch viel sicherer
//Edit: Neue Nachricht buggt, also so:

Durch das true wird nicht der Hexadezimalwert des Hashes angezeigt, sondern im Binären Format zurückgegeben, also der "Wusel"

Sharpadox · 14. Dezember 2012

Zitat von Florian77711

jap, doppeltes hashen ist ja eigentlich auch viel sicherer

Jo schon, aber ich würde ihn ja gerne "unhashen" ;/
Wenn ich md5($user['Passwort']),true); mache, kommt auch irgend so ein Wusel raus

óWbü|=ú1ãÚþÏ¾

Campbell · 15. Dezember 2012

Zitat von Florian77711

jap, doppeltes hashen ist ja eigentlich auch viel sicherer

Falsch, es könnte zwar sein, dass bei einer mehrfachen Anwendung eine Brute-Force-Attacke etwas länger brauchen könnte, jedoch steigt die Gefahr von neuen Attacken. Ebenfalls wird bei Algorithmen immer dazu notiert, ob es sicher ist, diesen Algorithmus mehrfach anzuwenden oder nicht, da es evt. zu Ausnahmesituationen kommen kann.

Zitat

Jo schon, aber ich würde ihn ja gerne "unhashen" ;/

Das tut man nicht - Man speichert das Passwort gehasht und hasht die Eingabe, um es mit dem gespeicherten gehashten Passwort zu vergleichen.

PHP

$res = mysql_query("SELECT `Passwort` FROM `accounts` WHERE `Name` = '". mysql_real_escape_string($username) ."'"); // Query ausführen und Ergebnis der Abfrage in $res speichern.
$row = mysql_fetch_array($res); // mysql_query() gibt eine Resource zurück, daher speichern wir unsere Ergebnisse in Form eines Arrays in $row.


if($row['Passwort'] == md5($_POST['Passwort']) { // Gehashtes Passwort aus Datenbank mit neuem Hash der Eingabe vergleichen.
    // Eingeloggt.
} else {
    // Falsche Eingabe.
}

Sharpadox · 15. Dezember 2012

Geht immernoch nicht, langsam macht mich das Ding verrück..
Ich schicke mal ganzen Code, vllt könnt ihr damit mehr anfangen ;<

HTML-Teil:

Spoiler anzeigen

PHP

<html>	<head>		<title>VisionRPG - UCP</title>	</head>	<body>		<h1>User Control Panel</h1>		<h2>German Vision Reallife</h2>		<br/><br/>		<form action="mysql.php" method="post">			Username:<input type="text" size="20" name="Username"><br/>			Passwort:<input type="text" size="20" name="Passwort"><br/>			<input type="submit" value="Einloggen">		</form>	</body></html>

Spoiler anzeigen

PHP-Teil:

Spoiler anzeigen

PHP

<?php	error_reporting(E_ALL);	$connect = mysql_connect("localhost","root","");	$database = mysql_select_db("gta");	$username = $_POST['Username'];	$passwort = $_POST['Passwort'];	$sql = "SELECT * FROM accounts WHERE Name = '".$username."'";	$db_erg = mysql_query($sql);	$user = mysql_fetch_array($db_erg);	if($username == "" or $passwort == "") {		echo "Du hast nicht alle Felder ausgefüllt!";		exit;	}	else if($user['Passwort'] == md5($passwort))	{		echo "Erfolgreich eingeloggt!";	}	mysql_close($connect);?>

Spoiler anzeigen

Florian77711 · 15. Dezember 2012

Zitat von Campbell ©

Falsch, es könnte zwar sein, dass bei einer mehrfachen Anwendung eine Brute-Force-Attacke etwas länger brauchen könnte, jedoch steigt die Gefahr von neuen Attacken. Ebenfalls wird bei Algorithmen immer dazu notiert, ob es sicher ist, diesen Algorithmus mehrfach anzuwenden oder nicht, da es evt. zu Ausnahmesituationen kommen kann.

Nja, auf jedenfall sicherer als 1maliges md5, da z.B. die meisten Passwort-Tabellen auf md5 ausgelegt sind, nicht auf doppeltes md5.
Auch das 'etwas länger brauchen' ist nicht unter den Tisch zu kehren.

Sicherlich ist es nicht besonders sicher, aber für einen PHP-Anfänger reicht es meiner Meinung nach alle Mal.

//Edit: Zu Sh12:

Du hattest ja in diesem Thread einmal deinen md5-hash aus der Datenbank geposted, wenn ich mich recht erinnere war der in Großbuchstaben.
Villeicht könnte das dein Problem sein: Die PHP-Funktion md5() gibt einen String zurück, in dem die Buchstaben klein sind.
Anscheinend gibt dein SA:MP-Skript, oder was auch immer den MD5-String in die Datenbank schreibt, den MD5-String in Großbuchstaben an, was jedoch für PHP (und ich glaub so ziemlich jede andere Script/Programmiersprache auch) nicht dasselbe ist.

Mein Lösungsvorschlag wäre jetzte folgender:

PHP

/* Zeile 17 */ else if(strtolower($user['Passwort']) == md5($passwort))

Die Funktion strtolower gibt dir das gehashte Passwort der Datenbank dann in Kleinbuchstaben zurück, was dein Problem, wenn es das meiner Annahme ist, löst...

Sharpadox · 15. Dezember 2012

Es passiert aber garnichts :O

Auch wenn ich nichts eingebe sollte eig der Text kommen:
Du hast nicht alle Felder ausgefüllt!

Aber das Kommt auch nicht, egal was ich mache D;

//EDIT:
Gibt es vielleicht iwo ein Beispielscript für sowas, dass man
sich das anschauen könnte? D:

//EDIT2:
Kann vielleicht einer auch über TeamViewer drüberschauen?

Florian77711 · 15. Dezember 2012

Hab das mal aus dem Login-Skript einer selbst gecodeten Website genommen:

PHP

$sql = 'SELECT * FROM tabelle WHERE username=\''.mysql_real_escape_string($_POST['name']).'\'';
$result = mysql_query($sql);
if(mysql_num_rows($result) > 0) {
	//Benutzer vorhanden
	$data = mysql_fetch_array($result);
	if($data['password']==md5(md5($_POST['password']))) {
		//Passwort korrekt
		$_SESSION['number'] = $data['userID'];
	} else {
		//Passwort falsch
	}
} else {
	//Benutzer nicht vorhanden
}

Alles anzeigen

Hoffe das hilft dir weiter

Sharpadox · 15. Dezember 2012

Jetzt habe ich es so:

Spoiler anzeigen

PHP

<?php	$connect = mysql_connect("localhost","root","");	$database = mysql_select_db("gta");	$username = $_POST['Username'];	$passwort = $_POST['Passwort'];	$sql = 'SELECT * FROM accounts WHERE Name=\''.mysql_real_escape_string($username).'\'';	$result = mysql_query($sql);	$user = mysql_fetch_array($db_erg);	if(mysql_num_rows($result) > 0) {		//Benutzer vorhanden		$data = mysql_fetch_array($result);		if($data['password']==md5(md5($passwort))) {			//Passwort korrekt			$_SESSION['number'] = $data['userID'];			echo "Erfolgreich eingeloggt";		} else {			//Passwort falsch			echo "Falsches Passwort";		}	} else {		echo "Ungültiger Name";		//Benutzer nicht vorhanden	}	mysql_close($connect);?>

Spoiler anzeigen

Aber wenn ich jetzt mich einlogge steht da::