PHP MD5 entschlüsseln

Maurice. · 2. März 2014

Hallo,

undzwar lasse ich das Passwort in der MySQL DB mit MD5 verschlüsseln. Und nun mache ich ein UCP und da habe ich eine frage wie entschlüssel ich es wenn er abfragt ob das Passwort richtig ist code:
if($submit)
{
if($username && $password)
{
$query = mysql_query("SELECT Name, Passwort FROM accounts WHERE Name = '$username'");
if(mysql_num_rows($query) == 1)
{
while($row = mysql_fetch_assoc($query))
{
$dbusername = $row['Name'];
$dbpassword = $row['Passwort'];
}
if($username == $dbusername && $password == $dbpassword)
{
$_SESSION['username'] = $dbusername;
echo header('location: profile.php');
}
else echo "Bitte überprüfe deine Angaben.!";
}
else echo "Bitte überprüfe deine Angaben.!";
}
else echo "Bitte gebe einen Username und ein Passwort ein!";
}

xGreekz7x · 2. März 2014

PHP

if($username == $dbusername && md5($password) == $dbpassword)

Exod_Martinez · 2. März 2014

Zitat von xGreekz7x

PHP

if($username == $dbusername && md5($password) == $dbpassword)

Und jetzt zur Erklärung:
Du entschlüsselst das Passwort in der Datenbank nicht, sondern verschlüsselst die Eingabe und fragst ab, ob der Eintrag in der Datenbank der Verschlüsselten Eingabe übereinstimmt

Maurice. · 2. März 2014

Also wie muss ich es den nun machen ?
$submit = $_POST['submit'];

$username = sanitize($_POST['Name']);
$password = sanitize($_POST['Passwort']);

if($submit)
{
if($username && $password)
{
$query = mysql_query("SELECT Name, Passwort FROM accounts WHERE Name = '$username'");
if(mysql_num_rows($query) == 1)
{
while($row = mysql_fetch_assoc($query))
{
$dbusername = $row['Name'];
$dbpassword = $row['Passwort'];
}
if($username == $dbusername && $password == $dbpassword)
{
$_SESSION['username'] = $dbusername;
echo header('location: profile.php');
}
else echo "Falsches Passwort!";
}
else echo "Der Username existiert nicht.!";
}
else echo "Tippe ein UserName und ein Passwort ein!";
}

Kinimod · 2. März 2014

MD5 ist keine Verschlüsselungsmethode, sondern ein Hash. Das hat jetzt natürlich wenig mit Drogen zu tun, sondern ist eher ein Algorhytmus, der eine Zeichenkette umwandelt. Das kann man nicht mehr entschlüsseln, sondern Bruteforcen. Da das allerdings viel zu umständlich ist und auch eine Vergleichsdatenbank an Zeichenketten fordert, ist das nicht möglich.

Du musst vielmehr den mit MD5 gehashten String (das Passwort in der Datenbank) mit dem MD5 Hash der Eingabe vergleichen, da die Hashs immer die Selben sind.
Wenn beide identisch sind, ist das Passwort korrekt.
Du solltest allerdings beachten, dass mit dem MD5 Include erstellte MD5 Hashs in Großbuchstaben umgewandelt wird, die MD5 Funktion von PHP allerdings dies bei kleinen Buchstaben belässt.
Bei einem UCP wären dann die Hashs nicht mehr identisch, obwohl das Passwort korrekt ist, da der eine Hash Kleinbuchstaben und der andere Großbuchstaben enthält.
Dazu solltest du die Funktion http://php.net/manual/de/function.strtolower.php verwenden.

Maurice. · 2. März 2014

Dies kapier ich nicht wie muss ich das jetzte machen ?

xGreekz7x · 2. März 2014

Ich habe dir doch schon den Code oben vorgegebn ?!

Maurice. · 2. März 2014

Dies funzuniert aber nicht.

BlackFoX · 2. März 2014

Ein Hash ist nur eine Prüfmethode, so kann man große Daten z.b. auch in einen "Hash" verwandeln um einen Abgleich zu starten und nicht Byte für Byte miteinander zu vergleichen.

Nimm einfach die Benutzereingabe lass sie als Hash ausgeben und vergleiche sie mit dem Hash in deiner Datenbank. Wenn der Benutzer sich registriert muss die Eingabe natürlich auch vorher in einen Hash verwandelt und in die Datenbank übertragen werden.

Kinimod · 2. März 2014

Zitat von Excuse

Dies kapier ich nicht wie muss ich das jetzte machen ?

Lies dir doch meinen Text durch... Einfach aufmerksam lesen, ich habe es genau erläutert, was du machen musst.

Sharpadox · 2. März 2014

Du kannst MD5 (soweit ich weiß) nicht in PHP "unhashen".
Du musst einfach dein eingegebenes Passwort hashen, und dann die beiden MD5-Werte miteinander vergleichen.

PHP

if(strcasecmp(md5($password),$dbpassword)){ /* Code */ }

Maurice. · 2. März 2014

Zitat von Sharpadox

if(strcasecmp(md5($password),$dbpassword))

wie soll ich das hier rein machen ?
if($submit)
{
if($username && $password)
{
$query = mysql_query("SELECT Name, Passwort FROM accounts WHERE Name = '$username'");
if(mysql_num_rows($query) == 1)
{
while($row = mysql_fetch_assoc($query))
{
$dbusername = $row['Name'];
$dbpassword = $row['Passwort'];
}
if($username == $dbusername && $password == $dbpassword)
{
$_SESSION['username'] = $dbusername;
echo header('location: profile.php');
}
else echo "Falsches Passwort!";
}
else echo "Der Username existiert nicht.!";
}
else echo "Tippe ein UserName und ein Passwort ein!";
}

pierre65 · 2. März 2014

PHP

if($submit) 
{ 	
	if($username && $password) 
	{ 
    	$query = mysql_query("SELECT Name, Passwort FROM accounts WHERE Name = '$username'");
    	if(mysql_num_rows($query) == 1) 
    	{ 
        	while($row = mysql_fetch_assoc($query))
        	{ 
            	$dbusername = $row['Name']; 
            	$dbpassword = $row['Passwort']; 
        	} 
			if($username == $dbusername && md5($password) == $dbpassword)       	
			{ 
            	$_SESSION['username'] = $dbusername; 
           	echo header('location: profile.php'); 
        	} 
      	else echo "Falsches Passwort!"; 
    	} 
    	else echo "Der Username existiert nicht.!"; 
	} 
	else echo "Tippe ein UserName und ein Passwort ein!"; 
}

Alles anzeigen

Viel Spaß...
(Zeile 13 ca.)

Maurice. · 2. März 2014

pierre65 wie ich schon zu greeekz sagte dies funzuniert nicht. Hier noch mal ein beispiel:

In der MySQL - Tabbelle ist das Passwort mit MD5 gesichert
Wenn ich mich einlogge soll er das MD5 passwort enthashen und dann sich richtig einloggen.

Kinimod · 2. März 2014

Einfach als Query

Code

$query = mysql_query("SELECT Name, Passwort FROM accounts WHERE Name = '$username'" AND passwort = '$passwort');

Dann fällt die If Abfrage meines Vorposters weg.

Damit meine ich diese:

PHP

if($username == $dbusername && md5($password) == $dbpassword)           
            { 
                $_SESSION['username'] = $dbusername; 
               echo header('location: profile.php'); 
            }

Am Ende sieht das dann so aus:

PHP

if($submit) 
{     
    if($username && $password) 
    { 
        $query = mysql_query("SELECT Name, Passwort FROM accounts WHERE Name = '$username' AND Passwort = '$passwort'");
        if(mysql_num_rows($query) == 1) 
        { 
            while($row = mysql_fetch_assoc($query))
            { 
                $dbusername = $row['Name']; 
                $dbpassword = $row['Passwort']; 
            } 

           $_SESSION['username'] = $dbusername; 
            echo header('location: profile.php'); 
          else echo "Falsches Passwort!"; 
        } 
        else echo "Der Username existiert nicht.!"; 
    } 
    else echo "Tippe ein UserName und ein Passwort ein!"; 
}

Alles anzeigen

Maurice. · 2. März 2014

Nun kommt nurnoch eine weiße Seite.

noir · 2. März 2014

Das geht auch noch besser:

PHP

if($submit) { 	
	if($username && $password){ 
    	$query = mysql_query("SELECT count(*) AS Ergebnis FROM accounts WHERE Name = '$username' AND Passwort = MD5('$password')");
    	$row = mysql_fetch_array($query);
		if($row['Ergebnis'] == 1){
			$_SESSION['username'] = $username;
			header('location: profile.php');
		}else{
			echo 'Falsches Passwort und/oder falscher Benutzername!';
		}
}else{
	echo "Tippe einen Usernamen und ein Passwort ein!"; 
}

Alles anzeigen

Hier übernimmt MySQL die komplette Arbeit. MySQL Hasht das Passwort selber, guckt ob es einen Benutzer mit dem dazugehörigen gehashten Passwort gibt und zählt auch noch selber. In PHP überprüfen wir dann nur noch ob es jemanden mit genau dieser kombination gibt.

Maurice. · 2. März 2014

Es kommt nurnoch eine weiße seite hier mal die gante index.php: <?php

include("mysql_connect.php");
session_start();
error_reporting(0);

$submit = $_POST['submit'];

$username = sanitize($_POST['Name']);
$password = sanitize($_POST['Passwort']);

if($submit) {
if($username && $password){
$query = mysql_query("SELECT count(*) AS Ergebnis FROM accounts WHERE Name = '$username' AND Passwort = MD5('$password')");
$row = mysql_fetch_array($query);
if($row['Ergebnis'] == 1){
$_SESSION['username'] = $username;
header('location: profile.php');
}else{
echo 'Falsches Passwort und/oder falscher Benutzername!';
}
}else{
echo "Tippe einen Usernamen und ein Passwort ein!";
}
?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Evolution Gaming | UCP</title>
<link rel="shortcut icon" type="image/x-icon" href="/test.ico">
<form action='index.php' method='POST'>
<table>
<tr>
<td align="right"><font color="#00FF00">Name: <input type="text" name="Name" value='<?php echo $username?>'/> </td>
</tr>
<tr>
<td><font color="#00FF00">Passwort: <input type="password" name="Passwort"/> </td>
</tr>
<tr>
<td><p align="center"><input type='submit' name="submit" value='Einloggen' /> </p></td>
</tr>
</table>
</form>
</head>
</html>

namespace · 2. März 2014

Um Gottes willen, du bekommst hier wirklich sehr einfache Erklärungen zum Thema MD5 und ignorierst alles gekonnt.
Wir sind hier kein Sourcecode-Spendeverein.

Befass dich mit MD5, lerne was ein Hash ist, wie dieser ensteht, und dann weißt du auch, wie du das eingegebene Passwort mit dem Datenbankeintrag vergleichst.

Klemmlampe · 2. März 2014

Tipps bezüglich Hilfestellung bei Codingfragen

B2T: Stell erstmal mal error_reporting auf -1 und display_errors auf true, falls nicht sowieso so eingestellt, ich tippe darauf, dass da irgendwo ein Fehler im Code ist.

PHP

// Zeile 14
$query = mysql_query("SELECT count(*) AS Ergebnis FROM accounts WHERE Name = '$username' AND Passwort = MD5('$password') LIMIT 1");
$row = mysql_fetch_array($query);

Kleine Anmerkung am Rande: Ein kleiner Blick in den Changelog von PHP 5.5 und siehe da, unter veralteten Features: die alte MySQL-Extension, die du verwendest.