[Erledigt] Passwort verstecken... Request: mal gehts, mal nicht - Seite 2

Flor1an · 17.02.2010, 22:57

Zitat:

Zitat von Capfly

Drum speichere ich es verschlüsselt im Cookie ab

Das solltest du dann auch anwenden.
Zusätzlich auf jeder Seite das Pw im Cookie mit dem in der DB prüfen, dann ist es auch etwas sicherer

Kein Stück! Ist mir doch egal ob ich das Passwort im Klartext oder "verschlüsselt" bekomme. Ich erstell mir nen neues Cookie mit dem verschlüsselten Passwort und schon denkt deine Anwendung ich wäre wer anders!

Arne Drews · 18.02.2010, 08:13

@Pete-Bremen:
Du suchst glaube ich Passwort-Verschlüsselung in PHP á la md5(), sha1(), etc...
Findest Du alles auf PHP.net.

In der Datenbank kannst das (verschlüsselt) ganz normal als VARCHAR oder CHAR ablegen.

Flor1an · 18.02.2010, 12:55

Wie oft denn noch. md5 und sha1 sind keine Verschlüsselungen! Da ist ein riesiger Unterschied! Es sind Hashfunktionen!!! Und auch gehashte Passwörter haben in der Session/Cookie/Formular nichts zu suchen!

Arne Drews · 18.02.2010, 13:10

Zitat:

Wie oft denn noch. md5 und sha1 sind keine Verschlüsselungen!

Jaha... Weiß ich. Flüchtigkeitsfehler.
Hast natürlich Recht!

Pete-Bremen · 19.02.2010, 13:00

Zitat:

Zitat von Arne Drews

@Pete-Bremen:
Du suchst glaube ich Passwort-Verschlüsselung in PHP á la md5(), sha1(), etc...
Findest Du alles auf PHP.net.

In der Datenbank kannst das (verschlüsselt) ganz normal als VARCHAR oder CHAR ablegen.

schön, und wenn ich nun noch wüsste, wo ich dort im php.net suchen soll, wäre ich vielleicht tatsächlich um einiges weiter - hoffe ich wenigsten. Wenn hier einige so gut bescheid wissen, warum nennt man mir dann nicht "einfach" nen einbindbare Code, und ich kann mit meiner eigentlichen Arbeit beginnen.

Also, mein bisheriger Code sieht so aus :

PHP-Code:

 
<title>Test DB</title><table bgcolor="#0FFFFF"><table bgcolor="red" cellspacing="10" cellpadding="2" border="5" height: 233px;">

 
<?

    if(!mysql_connect("w--x.mysql-gateway.de","w15147-x","x"))

    {

        echo "<h2>Error</h2>";

        die();

    }

    mysql_select_db("w--x");

?>

 
 
<link href="xampp.css" rel="stylesheet" type="text/css"></head>

<body> &nbsp;<p><h1>Profildatenbank</h1>

 
 
 
 
 
 
<?

    if($_REQUEST['username']!="")

    {

        if($date=="")$date="NULL";

        $id=htmlentities($_REQUEST['id']);

        $username=htmlentities($_REQUEST['username']);

        $pw1=htmlentities($_REQUEST['pw1']);

        $pw2=htmlentities($_REQUEST['pw2']);

        $ort=htmlentities($_REQUEST['ort']);

        $email=htmlentities($_REQUEST['email']);

    

        mysql_query("INSERT INTO test (id,username,pw1,pw2,ort,email,date) VALUES('$id','$username','$pw1','$pw2','$ort','$email',NOW());");}

if($_POST['pw1'] == $_POST['pw2'])

 
 
 
 
 
?>

funktioniert bis auf dem, mit dem pw1 und 2.

Ausgabe :

PHP-Code:

 
<title>Test DB</title><table bgcolor="#0FFFFF"><table bgcolor="red" cellspacing="10" cellpadding="2" border="5" height: 233px;">

 
<?

    if(!mysql_connect("w--x.mysql-gateway.de","w--x","x"))

    {

        echo "<h2>Error</h2>";

        die();

    }

    mysql_select_db("w--x");

?>

 
 
<link href="xampp.css" rel="stylesheet" type="text/css"></head>

<body> &nbsp;<p><h1>Profildatenbank</h1>

 
 
 
 
 
<tr bgcolor=#f87820><td></td>

<td class=tabhead><b>Nr.</b></td>

<td class=tabhead width=200><b>Name</b></td>

<td class=tabhead width=100><b>Ort</b></td>

<td class=tabhead width=100><b>Kontakt</b></td>

<td class=tabhead width=100><b>Eintr. vom</b></td>

<td class=tabhead><b>Löschen ?</b></td>

<td></td>

</tr>

 
<?

    if($_REQUEST['username']!="")

    {

        if($date=="")$date="NULL";

        $id=htmlentities($_REQUEST['id']);

        $username=htmlentities($_REQUEST['username']);

        $pw1=htmlentities($_REQUEST['pw1']);

        $pw2=htmlentities($_REQUEST['pw2']);

        $ort=htmlentities($_REQUEST['ort']);

        $email=htmlentities($_REQUEST['email']);

    

        mysql_query("INSERT INTO test (id,username,pw1,pw2,ort,email,date) VALUES('$id','$username','$pw1','$pw2','$ort','$email',NOW());");}

 
    if($_REQUEST['action']=="del")

    {

        mysql_query("DELETE FROM test WHERE id={$_REQUEST['id']};");    }

 
    $result=mysql_query("SELECT id,username,pw1,pw2,ort,email,date FROM test ORDER BY id desc limit 1;");

 
 
// BY ist die Anordnung der Auflistung    

 
    $i=0;

    while( $row=mysql_fetch_array($result) )

    {

        if($i>0)

        {

            echo "<tr valign=bottom>";

            echo "<td bgcolor=#ffffff background='strichel.gif' colspan=6><img src=blank.gif width=1 height=1></td>";

            echo "</tr>";

        }

        echo "<tr valign=center>";

        echo "<td class=tabval></td>";

echo "<td class=tabval width=50><b>".$row['id']."</b></td>";

echo "<td class=tabval><b>".$row['username']."</b></td>";

echo "<td class=tabval>".$row['ort']."&nbsp;</td>";

echo "<td class=tabval>".email."&nbsp;</td>";

echo "<td class=tabval>".$row['date']." ";

 
 
        echo "<td class=tabval><a onclick=\"return confirm('Wirklich sicher ?');\" href=test.php?action=del&id=".$row['id']."><span class=red>[Ja]</span></a></td>";

        echo "<td class=tabval></td>";

        echo "</tr>";

        $i++;

 
    }

 
    echo "<tr valign=bottom>";

        echo "<td bgcolor=#fb7922 colspan=6></td>";

        echo "</tr>";

 
 
?>

 
</table>

</form>

Flor1an · 19.02.2010, 13:12

Was funktioniert nicht? Irgendiwe versteh ich jetzt den Zusammenhang zu den ersten Posts nicht mehr.

Aber bitte verwende für Daten die in eine MySQL DB geschrieben werden bitte mysql_real_escape_string() und nicht htmlentitites().

Und wieso speicherst du pwd1 und pwd2 in der Datenbank? Sollte man nicht normalerweise überprüfen ob beide Passwörter übereinstimmen um eine Fehleingabe des Passworts zu verhindern?

Arne Drews · 19.02.2010, 13:53

Zitat:

Zitat von Pete-Bremen

warum nennt man mir dann nicht "einfach" nen einbindbare Code, und ich kann mit meiner eigentlichen Arbeit beginnen.

Is klar... Super Einstellung!

Zitat:

Zitat von Pete-Breme

schön, und wenn ich nun noch wüsste, wo ich dort im php.net suchen soll, wäre ich vielleicht tatsächlich um einiges weiter - hoffe ich wenigsten.

Ich bezweifle das, wenn Du nichtmal in der Lage bist,
auf PHP.net im Suchfeld oben links einen Suchbegriff einzugeben...

dgawin · 26.02.2010, 23:32

PHP-Code:

  $kenn = md5 ($_REQUEST["kenn1"]);                
mysql_query("UPDATE user SET kennwort = '$kenn' WHERE id='$uid'");

PHP-Code:

  $sql = "SELECT * FROM user WHERE (email like '".$_REQUEST["email"]."') AND (kennwort = '".md5 ($_REQUEST["pwd"])."') or (username like '".$_REQUEST["email"]."') AND (kennwort = '".md5 ($_REQUEST["pwd"])."')";
    $result = mysql_query($sql);

nikosch · 27.02.2010, 17:30

Zitat:

PHP-Code:

  '".$_REQUEST["email"]."'

nennt sich übrigens SQL-Query-Injection.

dgawin · 27.02.2010, 19:48

machen wir einfach $_POST draus...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Mehrere DIV Container mit einem Klick ändern (mit mehreren Request Aufrufe	Lebenssonde	JavaScript, Ajax und mehr	11	26.08.2010 09:01
Passwort vergessen Funktion	Gravenstein	PHP Tipps 2009	17	18.08.2009 09:43
[Erledigt] PHP5: Request Parameter werden nicht korrekt ausgegeben	dmecir	PHP Tipps 2008	11	20.08.2008 17:37
bildanzeige bei falschem passwort	chrissie	PHP Tipps 2006	1	22.08.2006 15:37
Eingabefenster für Passwort	Nevermind	PHP Tipps 2007	10	18.12.2005 15:36
Passwort vergessen - Formular		PHP Tipps 2005-2	2	31.10.2005 10:40
mysql_connect verbindet nicht wenn user passwort hat		PHP Tipps 2005-2	3	28.10.2005 15:53
[Erledigt] MD5 Passwort hin und zurück		PHP Tipps 2005-2	22	25.10.2005 19:25
[Erledigt] Passwort und Nutzerverwaltung in Php und Mysql		PHP Tipps 2005-2	7	23.06.2005 17:46
3 Seiten durch Passwort schützen mit einmaliger PW-Eingabe?		PHP Tipps 2005	12	19.04.2005 22:41
Passwort geschützte Seite - PHP ohne MySQL		PHP Tipps 2004-2	3	29.12.2004 18:26
[Erledigt] Passwort vergessen-Script		PHP Tipps 2004-2	8	11.11.2004 18:56
Passwort übergeben	duerov	PHP Tipps 2004	5	27.09.2004 09:41
[Erledigt] Passwort verschlüsselung		Datenbanken	5	06.09.2004 10:31
benutzername + passwort pruefen		PHP Tipps 2004	4	07.07.2004 16:14


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.02.2010, 08:13
Arne Drews Erfahrener Benutzer Registriert seit: 22.04.2009 Beiträge: 3.341 PHP-Kenntnisse: Anfänger	@Pete-Bremen: Du suchst glaube ich Passwort-Verschlüsselung in PHP á la md5(), sha1(), etc... Findest Du alles auf PHP.net. In der Datenbank kannst das (verschlüsselt) ganz normal als VARCHAR oder CHAR ablegen.

18.02.2010, 12:55
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Wie oft denn noch. md5 und sha1 sind keine Verschlüsselungen! Da ist ein riesiger Unterschied! Es sind Hashfunktionen!!! Und auch gehashte Passwörter haben in der Session/Cookie/Formular nichts zu suchen!

19.02.2010, 13:12
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Was funktioniert nicht? Irgendiwe versteh ich jetzt den Zusammenhang zu den ersten Posts nicht mehr. Aber bitte verwende für Daten die in eine MySQL DB geschrieben werden bitte mysql_real_escape_string() und nicht htmlentitites(). Und wieso speicherst du pwd1 und pwd2 in der Datenbank? Sollte man nicht normalerweise überprüfen ob beide Passwörter übereinstimmen um eine Fehleingabe des Passworts zu verhindern?

26.02.2010, 23:32
dgawin Neuer Benutzer Registriert seit: 06.11.2008 Beiträge: 9	PHP-Code: `$kenn = md5 ($_REQUEST["kenn1"]); mysql_query("UPDATE user SET kennwort = '$kenn' WHERE id='$uid'");` PHP-Code: `$sql = "SELECT * FROM user WHERE (email like '".$_REQUEST["email"]."') AND (kennwort = '".md5 ($_REQUEST["pwd"])."') or (username like '".$_REQUEST["email"]."') AND (kennwort = '".md5 ($_REQUEST["pwd"])."')"; $result = mysql_query($sql);`

27.02.2010, 19:48
dgawin Neuer Benutzer Registriert seit: 06.11.2008 Beiträge: 9	machen wir einfach $_POST draus...