[PHP] Passwort und Benutzer in URL mit Datenbank vergleichen

Luis · 29. März 2015

Guten Tag,
Da ich leider kaum Ahnung von PHP habe suche ich jemanden der es mir schreiben kann.
Es sollte dann folgender maßen funktionieren man ruft den Link auf

Code

www.blabla.de/datei.php?username=NamedesUsers&password=password

Und die datei soll den Username und das Password vergleichen. Wenn es übereinstimmt soll die Funktion angezeigt werden wenn nicht soll als Echo kommen "Kein Zugriff!"
hoffe jemand kann mir diese kleine Datei schreiben
Danke
mfg.

Drasko · 29. März 2015

Du greifst auf die Werte mit $_GET zu

Ergo:

PHP

if($_GET['username'] == "bla" && &_GET['password'] == "xyz") {
    echo "Zugriff";
} else {    
echo "Zugriff verweigert!";
}

Luis · 29. März 2015

Zitat von Drasko

Du greifst auf die Werte mit $_GET zu

Ergo:

PHP

if($_GET['username'] == "bla" && &_GET['password'] == "xyz") {
    echo "Zugriff";
} else {    
echo "Zugriff verweigert!";
}

Danke allerdings hätte ich es gerne so das die Daten aus dem Link mit denen in der Datenbank verglichen werden. und jeder Benutzer hat ein individuelles Password

Kaliber · 29. März 2015

Einfach sowas:

PHP

if(!isset($_GET["username"]) || !isset($_GET["password"]))
{
    echo "Kein Zugriff!";
    exit;
}
if(empty($_GET["username"]) || empty($_GET["password"]))
{
    echo "Kein Zugriff!";
    exit;
}


/*
Hier deine MySQL - Sachen rein:
Ein Beispiel mit MySQLi: http://php.net/manual/de/mysqli.query.php
Ein Beispiel mit PDO: http://php.net/manual/de/pdo.query.php
*/
if(!strcmp($pw,$_GET["password"]) && !strcmp($user,$_GET["username"]))
{
    echo "Die oben eingegebene Daten sind gütlig! :)";
}

Alles anzeigen

mfg.

Luis · 29. März 2015

Aktuell sieht meine PHP Datei so aus:

PHP

<?php
mysql_connect('******','****','***');
@mysql_select_db('****') or die('Unable to select database');
 
 
 


 
 
$query = 'SELECT * FROM ***';
$result = mysql_query($query);
 
 
 
 if(!isset($_GET["name"]) || !isset($_GET["password"]))
{
    echo "Kein Zugriff!";
    exit;
}
if(empty($_GET["name"]) || empty($_GET["password"]))
{
    echo "Kein Zugriff!";
    exit;
} 
 
 
 
 if(!strcmp($pw,$_GET["password"]) && !strcmp($user,$_GET["name"]))
{
    while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
         $userid   = $row[0];
         $name     = $row[1];
         $zone     = $row[2];
         $ort      = $row[3];
         $hp       = $row[4];
         $wanteds  = $row[5];
         $loggedin = $row[6];
 
         if($loggedin != '0')
                 echo "[$userid] $name ($hp HP - $wanteds Wanteds)\n        ($ort, $zone)\n\n";
}
}
 
 
 


?>

Alles anzeigen

So habe ich es aktuell doch es Funktioniert leider nicht wie gewollt
Der Link müsste ja jetzt so sein:

Code

http://www.adresse.de/datei.php?name=name&password=password

Kaliber:

Klemmlampe · 29. März 2015

Ich glaube ich muss hier mal intervenieren.

Bitte, bitte (!) niemals Passwörter in Klartext via GET übermitteln, niemals! Ein bisschen an die Sicherheit denken sollte man doch schon. Entweder via HTTPS oder, die einfachere Lösung, das Passwort direkt als Hash hinsenden.

Ein API basteln ist schön, aber warum nicht ordentlich? JSON, XML oder irgendein anderes Format wäre hier angebracht, wobei ich definitiv zu den beiden genannten rate.

Die Daten einfach direkt von der Datenbank überprüfen lassen: WHERE username = BENUTZERNAME AND password = PASSWORD, ist der Datensatz dann leer, ist eines der Anmeldekriterien invalid (Passwort oder Benutzername falsch, Benutzer existiert nicht). Das Passwort, wie bereits oben erwähnt, gehasht übermitteln und direkt so in der Datenbank abfragen.

PDO verwenden, nicht die MySQL-Extension oder MySQLi.

Das wars glaube ich erstmal.

Luis · 29. März 2015

Es ist nur ein kleines Projekt für einen Keybinder also nichts großes muss nicht sicher sein nur so das nicht einfach jeder trottel die php Datei aufrufen kann und direkt die Daten hat.

Klemmlampe · 29. März 2015

Du verstehst das anscheinend nicht. Du machst dein Projekt damit nur unsicherer. TCP-Traffic abfangen ist extrem einfach, HTTP dazu noch leicht verständlich auszulesen. Du versendest das Passwort des Benutzers im Klartext, jeder der irgendwo dazwischen hockt kann das Passwort so extremst einfach abfangen. Mal davon abgesehen, dass es so auch in den Request-Logs des Webservers steht (im Gegensatz zu einem POST-Request, bei dem die Parameters nicht in der URI enthalten sind). Was nun also, wenn irgendwer das Passwort eines Nutzers nachweislich durch dein Programm abfangen konnte? Dann ist die Kacke am Dampfen.

Sei doch so nett und nimm meine Kritik an.

Luis · 29. März 2015

Ich habe es nur hier lediglich Passwort genannt es ist ein Key der Random für jeden Benutzer gesetzt wird dieser ist dafür um zu bestätigen das es wirklich der User ist. Den Key bekommt er dann von einem Keybinderadmin und kann somit das Overlay nutzen.

Caglar · 31. März 2015

Habe es nicht getestet, sollte aber gehen.

Edit:
Tut mir leid, war ein Fehler drinne.
So müsste es klappen:

PHP

<?php
	$connection;
	try {
		$connection = new PDO("mysql:host=localhost;dbname=test", "root", "123456");
		$connection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		$connection->exec("SET CHARACTER SET utf8");
		$connection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
	} catch (PDOException $ex) {
		die($ex->getMessage());
		exit();
	}

	$array = array("message" => "Falsche Zugangsdaten.");
	if(isset($_GET["username"]) && isset($_GET["password"])) {
		$username = $_GET["username"];
		$password = $_GET["password"];
		$sth = $connection->prepare("SELECT NULL FROM `Accounts` WHERE `Username` = :username AND `Password` = :password LIMIT 1");
		$sth->execute(array(":username" => $username, "password" => $password));
		if($sth->rowCount()) {
			$array["message"] = "Korrekte Daten.";
		}
	}
	die(json_encode($array));

Alles anzeigen

Edit:
Ach dachte du willst für deinen Keybinder oderso das Passwort per PHP prüfen.
Ja, wenn du direkt auf der Seite Funktionen haben möchtest dann halt so:

PHP

<?php
	$connection;
	try {
		$connection = new PDO("mysql:host=localhost;dbname=test", "root", "123456");
		$connection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		$connection->exec("SET CHARACTER SET utf8");
		$connection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
	} catch (PDOException $ex) {
		die($ex->getMessage());
		exit();
	}

	if(isset($_GET["username"]) && isset($_GET["password"])) {
		$username = $_GET["username"];
		$password = $_GET["password"];
		$sth = $connection->prepare("SELECT NULL FROM `Accounts` WHERE `Username` = :username AND `Password` = :password LIMIT 1");
		$sth->execute(array(":username" => $username, "password" => $password));
		if($sth->rowCount()) {
			echo("Hier können die Funktionen etc angezeigt werden.");
			exit();
		}
	}
	die("Kein Zugriff.");

Alles anzeigen

VitoHusky · 31. März 2015

Zitat von Luis

Es ist nur ein kleines Projekt für einen Keybinder also nichts großes muss nicht sicher sein nur so das nicht einfach jeder trottel die php Datei aufrufen kann und direkt die Daten hat.

Was spricht gegen mysqli ?

MySQLi ist ziemlich ähnlich zu PDO.
Mysqli (wenn man es richtig verwendet) benutzt auch prepared statements usw

Caglar · 31. März 2015

Zitat von VitoTheWolf

Was spricht gegen mysqli ?
MySQLi ist ziemlich ähnlich zu PDO.
Mysqli (wenn man es richtig verwendet) benutzt auch prepared statements usw

PDO unterstützt 12 verschiedene Datenbank Treiber, wobei MySQLi nur MySQL unterstützt.
Außerdem bietet PDO benannte Parameter, MySQLi nicht. Bei PDO kann man Anfragen vorbereiten und
später erst ausführen, bei MySQLi nicht. Ich finde PDO daher besser. Für kleinere Projekte kann man aber auch MySQLi nutzen.

[BE]axi92 · 31. März 2015

Um zu dem Sicherheitsproblem zu kommen:

Speicher die Passwörter gehashed in der Datenbank so kann niemand auf das PW draufkommen außer er weiß es.
Hashe das PW vor der Übertragung und vergleiche die beiden Hashes.
Das Passwort im Klartext sollte nur einmal vorkommen und zwar beim User im Input Feld.

VitoHusky · 2. April 2015

Zitat von Azcaq

Bei PDO kann man Anfragen vorbereiten und
später erst ausführen,

Ähm ..

Doch
das sind prepared statements.

Wenn man als DB eh nur mysql verwendet, kann man auch sofort PDO nutzen, da es mich nicht juckt wieviele Treiber der kann wenn ich zu 100% nur mysql nutze.

Außerdem müsste ja nach DB Typ auch die Queries angepasst werden.

Grüße

Caglar · 2. April 2015

Zitat von VitoTheWolf

Ähm ..

Doch
das sind prepared statements.

Wenn man als DB eh nur mysql verwendet, kann man auch sofort PDO nutzen, da es mich nicht juckt wieviele Treiber der kann wenn ich zu 100% nur mysql nutze.

Außerdem müsste ja nach DB Typ auch die Queries angepasst werden.

Grüße

Alles anzeigen

Soweit ich weiß unterstützt MySQLi keine prepared Statements. Wenn es ein groesseres Projekt sein soll was Open Source wird wuerde ich PDO nutzen.

VitoHusky · 5. April 2015

Zitat von Azcaq

Soweit ich weiß unterstützt MySQLi keine prepared Statements.

Doch, mysqli unterstützt prepared Statements
http://php.net/manual/de/mysqli.prepare.php

Grüße

Caglar · 5. April 2015

Zitat von VitoTheWolf

Doch, mysqli unterstützt prepared Statements
http://php.net/manual/de/mysqli.prepare.php

Grüße

Oh wusste ich garnicht. So lernt man halt dazu =D

breadfish.de 12. März 2022