Hasło w md5 a login.php

Question

Edit: Wszelkie rozwiązania co do szyfrowania MD5 znajdziecie w komentarzach poniżej (szczególnie na końcu).

 

Mam takie coś: 

<?php

	session_start();
	
	if((!isset($_POST['login'])) || (!isset($_POST['password'])))
	{
		header("Location: index.php");
		exit();
	}
	
	require_once "includes/dbconnect.php";

	$connect = @new mysqli($host, $db_user, $db_password, $db_name); //otwieranie polaczenia z baza danych
	
	if ($connect->connect_errno!=0)
	{
		echo "Error: ".$connect0->connect_errno;
	}
	else 
	{
		$login = $_POST['login'];
		$password = md5($_POST['password']);
		
		
		$login = htmlentities($login, ENT_QUOTES, "UTF-8"); //anty-wstrzykiwanie sql
		
		
		$sql = "SELECT * FROM users WHERE login='$login' AND password='$password'";
		/*$result = $connect->query("SELECT * FROM users WHERE password = '$password'");
		*      if(!$result) 
		*      {
	    * 	      echo 'Nie można uruchomić zapytania: ' . mysql_error();
		*	      exit;
		*      }
		*       $row = mysql_fetch_row($result);
        *
		*       echo $row[0]; // 42
		*       echo $row[1];
        */
		if($result = @$connect->query(
		sprintf("SELECT * FROM users WHERE login='%s' AND password='%s'", 			//anty-wstrzykiwanie sql
		mysqli_real_escape_string($connect,$login),									//anty-wstrzykiwanie sql
		mysqli_real_escape_string($connect,$password))))							//anty-wstrzykiwanie sql
		{
			$number_users = $result->num_rows;
			if($number_users>0)
			{
				$_SESSION['loggedin'] = true;
				
				$row = $result->fetch_assoc();
				$_SESSION['id'] = $row['id'];
				$_SESSION['user'] = $row['login'];
				
				unset($_SESSION['blad']);
				$result->close();
				header('Location: index.php');
			}
			else
			{
				$_SESSION['blad']='<span class = "error">Wrong login or password!</span>';
				header('Location: index.php');
			}
		}
		$connect->close(); //zamykanie polaczenia (MUSI BYC W ELSIE, BO POZA NIM WYGENEROWALOBY OSTRZERZENIE)
	}
?>

W bazie hasła są zaszyfrowane w md5. Przy podawaniu hasła i loginu w systemie logowania... Nic się nie dzieje.

Jak mam pobrać dane z bazy, które są zaszyfrowane w md5?

// Mam jeszcze dodatkowo pobrać informacje z bazy danych typu "SELECT * FROM ..."?

Answer 1

Żeby się zalogować to musisz pobrać z bazy login oraz hasło aby sprawdzić czy podane parametry przy logowaniu są zgodne ze sobą.

Answer 2

Potrzebujesz loginu, hasła oraz linii kodu odpowiadających za ich porównanie, dopiero wtedy się zalogujesz.

Answer 3

W indexie.php/html masz takie coś

<form method = "POST" action = "login.php"><input type = "password" name = "password"/>

?? Jeśli to hasło poszukujesz z bazy danych np:

SELECT 'password' FROM 'users' WHERE 'pass' = '$psw'

Answer 4

Szyfrowanie : $hash = crypt($pass);

Deszyfrowanie

if ($_POST[login_submit])
{
	// pobieranie danych z formularza
	$log = $_POST[login_login];
	$pas = $_POST[login_password];

	// sprawdzanie czy dane się zgadzają i przekierowanie użytkownika
	$zapytanie_o_uzytkownia = mysql_query("SELECT name, mail, password from users where mail='$log' or name='$log'");
		
    if(mysql_num_rows($zapytanie_o_uzytkownia) > 0) 
	{
	    while($r = mysql_fetch_assoc($zapytanie_o_uzytkownia)) 
	    {
	    	//echo $r['mail'];
	    	//echo $r['password'];

	    	if ($r['password'] == crypt($pas, $r['password'])) 
				OK, PRZEKIEROWANIE DALSZEJ PRACY
	    	else
	    		ERROR BRAK DOSTEPU
        }
	}
	else
	   ERROR BRAK DOSTEPU
}
else
   ERROR BRAK DOSTĘPU

 

Comments

A ten do porówania z bazy? Z phpMyAdmin od użytkownika, na którego się logujesz? Miały być dwa hashe...

---

Nie edytuj proszę postów tylko pisz pod odpowiedziami - czasem trudno się zorientować co zrobiłeś.

Przyjrzyj się tym hashom - czy przypadkiem wszystko jest ok? Oba hashe są identyczne? No nie... nie znajduje ich... Powiem Ci więcej - zapomniałeś jakie hasło podałeś przy rejestracji i klepiesz teraz "1" zamiast "x" :P

---

https://www.youtube.com/watch?v=BNsrK6P9QvI <--- Taka moja reakcja

 <---Taka Twoja reakcja

 

Dziękować strasznie za cierpliwość! Bóg w Ci dzieciach wynagrodzi za tą pomoc!

---

Najważniejsze, że się udało :) Reakcja moja zupełnie inna - poszedłem sobie zrobić kolację :)

Dobra - teraz już widzisz jak to działa. MD5 nie jest bezpieczny - Twoje hasła odczytałem w ciągu 1 sekundy wbijając je w google. Chcesz mieć lepszy algorytm? Spróbuj sobie np. Czegos takiego:

md5( md5( 'fac2d1' . $password) . '2fce9a');

 

Tylko pamiętaj, aby tą samą metodą hashować hasło przy rejestracji i logowaniu (czyli musisz na nowo zresetować wszystkie hasła). To co Ci podałem to tzw. sól (prosty przykład) - gdybyś tak zhashował hasło już bym Ci nie powiedział co masz wcisnąć aby się zalogować. 

Jedna uwaga na przyszłość - jak coś nie działa zawsze używaj var_dump() lub print_r() aby zobaczyć co zawiera zmienna i analizuj ręcznie to co wprowadzasz i to co otrzymujesz. Funckja die() której użyłem to to samo, co Mirosław używał u siebie jako exit() - funckje te mogą działać bez parametrów lub z parametrem - wtedy działają jak echo() i zatrzymują skrypt. 

 

Nie używaj @ przy funkcjach - pozbawiają Cię informacji o ewentualnych błędach. W wersji aplikacji, którą wystawiasz do sieci i tak zazwyczaj wyłącza się wyświetlanie błędów w całości ze względów bezpieczeństwa. 

 

P.S.

Dzieci-dzeciami - jak może niech zdrowie da, w tej chwili mam 38st :)

---

Odnośnie var_dump() -> dzięki Tobie wykrywanie błędów jest o wiele łatwiejsze i co więcej, przyjemniejsze bo odrazu widzisz jaki to błąd, jeśli trafi się w sedno :)

Co do szyfrowania md5 - prawda, poczytałem sobie co nieco o bezpieczeństwie i zaimplementowanie już takiego ultra porządnego algorytmu przerosło mnie, więc na pewno wrócę do tego tematu w przyszłości!