Hash-Werte

Raito · 07.04.2008, 11:58

Mein Datenbank-Skript wandelt die Passwörter in SHA 1 um z.B.
INSERT INTO tb_user (user_name, user_pwd, user_userstat, user_dept)
VALUES ("Administrator", SHA1("xxxxxx"), "Chief-Administrator", "IT");

in meinem Login Skript wird der Hash wert mit dem was eingegeben wird verglichen. Das klappt auch alles soweit.

Wenn ich aber über ein Formular das Passwort in die Datenbank SHA1 verschlüsselt schreiben will, kommt ein anderer Hash-Wert raus.
Kann mir jemand erklären warum da verschiedene Hash Werte rauskommen?

David · 07.04.2008, 12:02

Zitat:

Zitat von Raito

Wenn ich aber über ein Formular das Passwort in die Datenbank SHA1 verschlüsselt schreiben will, kommt ein anderer Hash-Wert raus.

Das Formular schreibt in die Datenbank? Glaube ich nicht. Der Browser schickt wohl eher die Formulardaten an den Webserver und dort werden sie von einem PHP Skript verarbeitet und in eine Datenbank geschrieben? Vielleicht solltest Du uns lieber den Code zeigen.

Raito · 07.04.2008, 12:09

Das ist der Code:

PHP-Code:

   $sql = "INSERT INTO tb_user (user_name, user_dept, user_userstat, user_pwd) VALUES ('$_POST[user_name]', '$_POST[user_dept]', '$_POST[user_userstat]', '".SHA1($_POST['user_pwd'])."')";

Wenn ich mir die Passwortspalte anschau sieht das Passwort test dann umgewandelt so aus:
da39a3ee5e6b4b0d3255bfef95601890afd80709
Wenn ich mir das ausgebe (echo sha1('$_POST['user_pwd']); )
dann kommt das raus :
6ea79b40aac21e344effacead77b234fae0784d1

David · 07.04.2008, 12:11

Ok, damit fügst Du wohl einen neuen Benutzer ein. Das funktioniert?
Was funktioniert nicht und wie sieht der dazugehörige Code aus? Wie hast Du diesen Code getestet? Mit welchen Werten? Hast Du Dir die Werte ausgeben lassen? (Ein passendes var_dump bewirkt manchmal Wunder.) Was ist dabei herausgekommen?

Raito · 07.04.2008, 12:18

Das Einfügen des neuen Benutzers funktioniert.
getestet siehe oben.

David · 07.04.2008, 12:21

Und wie lautete das Passwort aus dem Beispiel?

Ich habe es gerade hier mal getestet und

Code:

select sha1('abcdef')

als auch

PHP-Code:

  echo sha1('abcdef');

liefern beide das Ergebnis

Zitat:

1f8ac10f23c5b5bc1167bda84b833e5c057a77d2

Zitat:

echo sha1('$_POST['user_pwd']);

Das erzeugt einen parse error. Wie sieht der _echte_ Code aus?

edit:
Rate mal, was

PHP-Code:

  echo sha1('');

ausgibt

da39a3ee5e6b4b0d3255bfef95601890afd80709
Tipp:

PHP-Code:

  error_reporting(E_ALL);
ini_set('display_errors', 1);

an den Anfang des Skripts schreiben und nochmal testen.

Raito · 07.04.2008, 12:32

PHP-Code:

  if (isset ($_POST['submit'])) {
    if(empty ($_POST['user_name']))
       { $msg2 = "<font color='red'>Benutzername fehlt</font><br>"; }
    else {     $name = 1;
            if(empty ($_POST['user_password']))
                     { $msg2 = "<font color='red'>Passwort fehlt</font><br>"; }
                        else { $pwd = 1; } }
                         if ($pwd == 1 && $name == 1)
    { $sql2 = "INSERT INTO tb_user (user_name, user_dept, user_userstat, user_pwd) VALUES ('$_POST[user_name]', '$_POST[user_dept]', '$_POST[user_userstat]', '".SHA1($_POST['user_pwd'])."')";
      $result2 = mysql_query($sql2);
    if ($result2)
                { $msg3 = "<font color='green'>Dateneingabe erfolgreich</font><br>"; }
             else
             { $msg3 = "<font color='red'>Dateneingabe fehlgeschlagen</font><br>"; }
}
}

Das komplette Formular

PHP-Code:

      echo "<form action='$_SERVER[PHP_SELF]' method='POST'>\n";
    echo "  <table border='0' cellpadding='5' cellspacing='0' bgcolor='#E0E0E0'>\n";
    echo "    <tr>\n";
    echo "      <td align='right'>Name</td>\n";
    echo "      <td><input name='user_name' type='text' value='$_POST[user_name]'></td>\n";
    echo "    </tr>\n";
    echo "    <tr>\n";
    echo "      <td align='right'>Passwort</td>\n";
    echo "      <td><input name='user_password' type='password' value='$_POST[user_pwd]'></td>\n";
    echo "    </tr>\n";
    echo "    <tr>\n";
    echo "       <td align='right'>Status</td> <td>\n";
    echo "     <select name='user_userstat' value='$_POST[user_userstat]'>\n";
    echo $stats;
    echo "    </select></td>\n";
    echo "    </tr>\n";
    echo "    <tr>\n";
    echo "     <td align='right'>Abteilung</td>\n";
    echo "     <td>\n";
    echo "     <select name='user_dept' value='$_POST[user_dept]'>\n";
    echo $depts;
    echo "    </select></td>\n";
    echo "</tr>\n";
    echo "<tr>\n";
    echo "<td align='right'></td>\n";
    echo "<td>\n";
    echo "<input type='submit' name ='submit' value=' Absenden '>\n";
    echo "<input type='reset' value=' Felder leeren '>\n";
    echo "</td>\n";
    echo "</tr>\n";
    echo "</table>\n";
    echo "</form>\n";

also Benutzername, Abteilung und Status landen in der Datenbank.
Das das SHA1($_POST['user_pwd']) leer ist habe ich auch gerade mit var_dump festgestellt.
Aber wieso ist es leer?

David · 07.04.2008, 12:39

Warum gibst Du denn jede Zeile einzeln mit echo "Zeichenkette\n" aus?
php kann mit mehrzeiligen Zeichenketten umgehen

PHP-Code:

  echo '<form method="post" action="">
  <div>
    <input usw usw
  ';

und Du kannst auch den PHP Block verlassen, um größere Mengen Text auszugeben

PHP-Code:

  <?php
$x = 1234;
?>
<form method="post" action="">
  <div>
    <input type="text" name="textfeld1" value="<?php echo $x; ?>" />
    <input type="text" name="textfeld2" />
    <input type="text" name="textfeld3" />
    <input type="text" name="textfeld4" />
    <input type="submit" />
  </div>
</form>
<?php
// und weiter im PHP Code

Und schau Dir doch einfach mal an, was in $_POSR drin steht

PHP-Code:

  echo '<pre>'; var_dump($_POST); echo '</pre>';
if (isset ($_POST['submit'])) {

Auf jeden Fall error_reporting(E_ALL) und display_errors=On einstellen auf Deinem Entwicklungsserver.

lazydog · 07.04.2008, 14:44

Zitat:

Zitat von Raito

Datenbank.
Das das SHA1($_POST['user_pwd']) leer ist habe ich auch gerade mit var_dump festgestellt.
Aber wieso ist es leer?

Schau deinen Code an, und du siehst, dass das Passwort eben nicht user_pwd heisst. Wenn du David's Tipp befolgt hättest, dann hättest du auch die entsprechende Fehlermeldung erhalten.
Und so nebenbei, Input-Felder vom Typ password können nicht mit value vorbelegt werden.

Raito · 07.04.2008, 15:27

hab ich auch grad bemerkt. trotzdem danke für die info

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Unbekannte Werte verhindern das Dekodieren.	freq.9	PHP Tipps 2006	10	15.07.2006 00:28
GET Übergabe durch vorherigen md5 hash checken		PHP Tipps 2005-2	4	27.10.2005 15:55
Dynamische Werte übergabe? Logik Problem	jesus666	PHP Tipps 2005-2	21	03.08.2005 17:30
Alle Werte eines Array mischen		PHP Tipps 2005-2	2	28.07.2005 17:37
Eingabefelder und Werte		PHP Tipps 2005-2	1	28.06.2005 08:19
werte werden nicht übergeben		PHP Tipps 2005	10	05.04.2005 23:23
2 Werte mit gleichem MD5 Hash	webbi	PHP Tipps 2005	4	09.03.2005 12:46
[Erledigt] Wie kann ich beliebig viele Werte an eine Funktion übergeben		PHP Tipps 2005	11	25.01.2005 10:44
[Erledigt] Werte aus zwei Tabellen verknüpfen?		Datenbanken	12	05.01.2005 10:41
Doppelte Werte im Array löschen mittels hash		PHP Tipps 2004-2	1	09.12.2004 11:43
Werte werden nicht übergeben		Server, Hosting und Workstations	1	11.11.2004 09:30
<select> und alte Werte	obi	PHP Tipps 2004-2	4	06.11.2004 15:17
via Link Werte an eine function übergeben		PHP Tipps 2004	5	01.07.2004 12:39
Werte eines Arrays in eine MySQL schreiben		PHP Tipps 2004	2	28.06.2004 13:32
[Erledigt] Werte werden 2x ausgegeben		PHP Tipps 2004	2	13.06.2004 14:07

07.04.2008, 11:58
Raito Benutzer Registriert seit: 05.03.2008 Beiträge: 31	Hash-Werte Mein Datenbank-Skript wandelt die Passwörter in SHA 1 um z.B. INSERT INTO tb_user (user_name, user_pwd, user_userstat, user_dept) VALUES ("Administrator", SHA1("xxxxxx"), "Chief-Administrator", "IT"); in meinem Login Skript wird der Hash wert mit dem was eingegeben wird verglichen. Das klappt auch alles soweit. Wenn ich aber über ein Formular das Passwort in die Datenbank SHA1 verschlüsselt schreiben will, kommt ein anderer Hash-Wert raus. Kann mir jemand erklären warum da verschiedene Hash Werte rauskommen?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

07.04.2008, 12:09
Raito Benutzer Registriert seit: 05.03.2008 Beiträge: 31	Das ist der Code: PHP-Code: `$sql = "INSERT INTO tb_user (user_name, user_dept, user_userstat, user_pwd) VALUES ('$_POST[user_name]', '$_POST[user_dept]', '$_POST[user_userstat]', '".SHA1($_POST['user_pwd'])."')";` Wenn ich mir die Passwortspalte anschau sieht das Passwort test dann umgewandelt so aus: da39a3ee5e6b4b0d3255bfef95601890afd80709 Wenn ich mir das ausgebe (echo sha1('$_POST['user_pwd']); ) dann kommt das raus : 6ea79b40aac21e344effacead77b234fae0784d1 Geändert von Raito (07.04.2008 um 12:13 Uhr).

07.04.2008, 12:11
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Ok, damit fügst Du wohl einen neuen Benutzer ein. Das funktioniert? Was funktioniert nicht und wie sieht der dazugehörige Code aus? Wie hast Du diesen Code getestet? Mit welchen Werten? Hast Du Dir die Werte ausgeben lassen? (Ein passendes var_dump bewirkt manchmal Wunder.) Was ist dabei herausgekommen?

07.04.2008, 12:18
Raito Benutzer Registriert seit: 05.03.2008 Beiträge: 31	Das Einfügen des neuen Benutzers funktioniert. getestet siehe oben.

07.04.2008, 12:32
Raito Benutzer Registriert seit: 05.03.2008 Beiträge: 31	PHP-Code: if (isset ($_POST['submit'])) { if(empty ($_POST['user_name'])) { $msg2 = "<font color='red'>Benutzername fehlt</font><br>"; } else { $name = 1; if(empty ($_POST['user_password'])) { $msg2 = "<font color='red'>Passwort fehlt</font><br>"; } else { $pwd = 1; } } if ($pwd == 1 && $name == 1) { $sql2 = "INSERT INTO tb_user (user_name, user_dept, user_userstat, user_pwd) VALUES ('$_POST[user_name]', '$_POST[user_dept]', '$_POST[user_userstat]', '".SHA1($_POST['user_pwd'])."')"; $result2 = mysql_query($sql2); if ($result2) { $msg3 = "<font color='green'>Dateneingabe erfolgreich</font><br>"; } else { $msg3 = "<font color='red'>Dateneingabe fehlgeschlagen</font><br>"; } } } Das komplette Formular PHP-Code: echo "<form action='$_SERVER[PHP_SELF]' method='POST'>\n"; echo " <table border='0' cellpadding='5' cellspacing='0' bgcolor='#E0E0E0'>\n"; echo " <tr>\n"; echo " <td align='right'>Name</td>\n"; echo " <td><input name='user_name' type='text' value='$_POST[user_name]'></td>\n"; echo " </tr>\n"; echo " <tr>\n"; echo " <td align='right'>Passwort</td>\n"; echo " <td><input name='user_password' type='password' value='$_POST[user_pwd]'></td>\n"; echo " </tr>\n"; echo " <tr>\n"; echo " <td align='right'>Status</td> <td>\n"; echo " <select name='user_userstat' value='$_POST[user_userstat]'>\n"; echo $stats; echo " </select></td>\n"; echo " </tr>\n"; echo " <tr>\n"; echo " <td align='right'>Abteilung</td>\n"; echo " <td>\n"; echo " <select name='user_dept' value='$_POST[user_dept]'>\n"; echo $depts; echo " </select></td>\n"; echo "</tr>\n"; echo "<tr>\n"; echo "<td align='right'></td>\n"; echo "<td>\n"; echo "<input type='submit' name ='submit' value=' Absenden '>\n"; echo "<input type='reset' value=' Felder leeren '>\n"; echo "</td>\n"; echo "</tr>\n"; echo "</table>\n"; echo "</form>\n"; also Benutzername, Abteilung und Status landen in der Datenbank. Das das SHA1($_POST['user_pwd']) leer ist habe ich auch gerade mit var_dump festgestellt. Aber wieso ist es leer?

07.04.2008, 12:39
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Warum gibst Du denn jede Zeile einzeln mit echo "Zeichenkette\n" aus? php kann mit mehrzeiligen Zeichenketten umgehen PHP-Code: `echo '<form method="post" action=""> <div> <input usw usw ';` und Du kannst auch den PHP Block verlassen, um größere Mengen Text auszugeben PHP-Code: `<?php $x = 1234; ?> <form method="post" action=""> <div> <input type="text" name="textfeld1" value="<?php echo $x; ?>" /> <input type="text" name="textfeld2" /> <input type="text" name="textfeld3" /> <input type="text" name="textfeld4" /> <input type="submit" /> </div> </form> <?php // und weiter im PHP Code` Und schau Dir doch einfach mal an, was in $_POSR drin steht PHP-Code: `echo '<pre>'; var_dump($_POST); echo '</pre>'; if (isset ($_POST['submit'])) {` Auf jeden Fall error_reporting(E_ALL) und display_errors=On einstellen auf Deinem Entwicklungsserver.

07.04.2008, 15:27
Raito Benutzer Registriert seit: 05.03.2008 Beiträge: 31	hab ich auch grad bemerkt. trotzdem danke für die info