PHP Parameter Login Abfrage

BreadScript · 24. März 2018

Hallo,

ich würde gerne wie folgt über ein externes Programm Abfragen ob 0 oder 1 ausgegeben wird. Aktuell wird leider immer nur 1 ausgegeben. Wo sitzt der Fehler ?

PHP

<?php
require_once('db.php'); 


$action = $_GET['action'];
$username = $con->real_escape_string($_GET['username']);
$password = $con->real_escape_string(md5($_GET['password']));
if($action == "read")
{	
	$query = "SELECT * FROM users WHERE username = '$username' and password = '$password'";
	if($result = mysqli_query($con, $query)) 
	{
		echo "1";

	}
	else
	{
		echo "0";
	}
}
?>

Alles anzeigen

Kaliber · 24. März 2018

Du fragst so nur ab, ob es einen Rückgabewert gibt, und natürlich gibt es den, da dein Query erfolgreich ausgeführt wurde

Prüfen, ob die Zeile gefunden wurde machst du so:

PHP

$query = "SELECT * FROM users WHERE username = '$username' and password = '$password' LIMIT 1";
$result = mysqli_query($con, $query);
echo $result->num_rows;

BreadScript · 24. März 2018

Dort gibt er bei beiden alles Richtig aus. Bei Richtig 1 und bei falsch 0. Ist es sinnvoll den result im echo auszugeben ? Auf die dauer und der Sicherheit bezogen ? Andernfalls reicht das föllig aus wenn hierbei keine Sicherheitslücken entstehen

Kaliber · 24. März 2018

Also an sich kann man das machen, du escapst ja die Strings, also passieren kann da erstmal nichts.

Dass du md5 nutzt und dann noch ohne salt/pepper ist eher bedenklich

BreadScript · 24. März 2018

Zitat von Kaliber

Also an sich kann man das machen, du escapst ja die Strings, also passieren kann da erstmal nichts.

Dass du md5 nutzt und dann noch ohne salt/pepper ist eher bedenklich

Das ganze möchte ich natürlich noch umschreiben. Bin nur nicht dazu gekommen eine andere Hash Methode einzubauen bzw habe mich noch nicht Informiert wie dies am sinnvollsten zu tun ist. Eventuell kannst du mir dabei ja auch behilflich sein ?

Kaliber · 24. März 2018

Informier dich da ruhig, dass kann nicht schaden

Ich empfehl dir Hashs aus der SHA-2 / SHA-3 Reihe

Ternary · 25. März 2018

Oder aber du nutzt die bereits in PHP vorhandenen Passwortfunktionen, die sich um all das kümmern (password_hash mit PASSWORD_DEFAULT und password_verify).
Man sollte sicherheitsrelevante Algorithmen nach Möglichkeit nicht neu implementieren geschweige denn sich neu ausdenken, wenn es schon welche gibt. Mit den vorhandenen Funktionen (die sich ja auch schon tausende Leute mit viel Ahnung angeguckt und geprüft haben) bist du - gerade wenn man noch nicht so viel Übung hat - auf jeden Fall auf der sicherere Seite.

seegras · 25. März 2018

Hashes im SHA Verfahren sind ja auch nichts neues, zumal SHA-2 und SHA-3 noch nicht geknackt worden sind

Devine_ · 25. März 2018

Du solltest am besten noch einen SALT benutzen.

Ternary · 26. März 2018

Zitat von seegras

Hashes im SHA Verfahren sind ja auch nichts neues, zumal SHA-2 und SHA-3 noch nicht geknackt worden sind

Bringt einem halt auch nichts, wenn man dann beispielsweise keine, zu kurze oder vorhersehbare Salts nutzt. Es geht ja nicht um das Hashing an sich, sondern das Konstrukt drum herum. Da kann man sich viel Arbeit und vor allem auch viele Fehlerpotentiale sparen, wenn man auf bewährte bereits vorhandene Funktionen zurückgreift.

Fischer · 26. März 2018

Ich klinke mich mal ein weil ich in der Arbeit ein Verwaltungsprogramm von Windows 2000 in eine Weboberfläche umheben muss. Welche PHP Funktion sollte man da jetzt nehmen? Im Internet finde ich da z.B die crypt() Funktion, die ziemlich "neu" sein soll. Damit kann man dann ja den Algor. auch auswählen, oder?

Kaliber · 26. März 2018

Zitat von [NeS]Fischer

Ich klinke mich mal ein weil ich in der Arbeit ein Verwaltungsprogramm von Windows 2000 in eine Weboberfläche umheben muss. Welche PHP Funktion sollte man da jetzt nehmen? Im Internet finde ich da z.B die crypt() Funktion, die ziemlich "neu" sein soll. Damit kann man dann ja den Algor. auch auswählen, oder?

Das ist korrekt.

Allerdings verstehe ich die eigentliche Frage nicht

Fischer · 26. März 2018

Naja die Frage war, ob ich das mit crypt() machen soll und mit welchen Algorhythmus^^ Oderntlich gesalzen werden muss das ja auch, zufallsgeneriert oder von mir fest definiert?

Ternary · 26. März 2018

Zitat von [NeS]Fischer

Ich klinke mich mal ein weil ich in der Arbeit ein Verwaltungsprogramm von Windows 2000 in eine Weboberfläche umheben muss. Welche PHP Funktion sollte man da jetzt nehmen? Im Internet finde ich da z.B die crypt() Funktion, die ziemlich "neu" sein soll. Damit kann man dann ja den Algor. auch auswählen, oder?

Kannst du. Zumindest für Passwörter bietet sich aber wie bereits erwähnt password_hash() und password_verify() an. Das sind letztlich einfach nur Wrapper um die crypt() Funktion, die dir ein bisschen Arbeit bei der Verifikation abnehmen aber vor allem (also bei _hash) sicherstellen, dass du einen ordentlichen Salt und einen angemessenen Algorithmus hast. Das ist also letztlich der Idiotensichere Weg. Mit crypt() selbst kannst du halt bei Bedarf so lustigen (aber faktisch unnötigen) Kram wie Double-Salts umsetzen. Ich würde dir da einfach die PHP Dokumentation zu den Funktionen ans Herz legen. Die sind vergleichsweise ausführlich. Vor allem gibt es da in den "User Kommentaren" oft noch ein paar best practices.

Fischer · 26. März 2018

Super danke, hatte da heute nur mal flüchtig im Internet geschaut und wollte mich da morgen reinlesen, ist ja schließlich Arbeitszeit

Ternary · 26. März 2018

Gut. Rechnung kommt dann.

Fischer · 26. März 2018

Klar, bitte an Bosch

PHP Parameter Login Abfrage

breadfish.de 12. März 2022

Ähnliche Themen

MySQL speichert die Fraktionsautos nicht