Loginskript auf der mainpage

Yanko · Beitrag von **Yanko** » 27.12.2008 14:32

es steht immer da falsches passwort

Passwort: 123123
Name: Urn

Wichtig: Das ist kein Werbelink sondern nur das Testprogramm!

http://panferno.pytalhost.net/login.php

ich denke mal das beim Passwortencoden irgendwas nicht klappt
weil wenn ich des verschlüsselte PW einfüge und phpbb_hash aus dem skript entferne geht es

Hier der code

Code: Alles auswählen

<?php include("include/db.php");?>
...
<div id='inhalt'><?php

if (!empty($_POST['username'])) {

define('IN_PHPBB', true);
$phpbb_root_path = 'forum/'; // Passe hier den Pfad zu deinem Forum an
$phpEx = substr(strrchr(__FILE__, '.'), 1);
include($phpbb_root_path . 'common.' . $phpEx);


$user->session_begin();
$auth->acl($user->data);
$user->setup();

if( $user->data['is_registered'] )
{
   // Benutzer ist schon eingeloggt
   echo 'Benutzer schon eingeloggt';
}

// Daten holen; request_var() funktioniert über POST und GET und schützt vor SQL-Injections
$username = request_var("username", "", true);
$password = request_var("password", "", true);

// Verschlüsseltes Passwort aus der DB holen
$sql = "SELECT user_password FROM phpbb_users WHERE username = '".$username."'";
$result = $db->sql_query_limit($sql, 1);
$row = $db->sql_fetchrow($result);
$db->sql_freeresult($result);

if( !$row )
{
   // User existiert nicht
   echo "<h2>Fehler</h2>
         <div class='bad'>Der User existiert nicht. Registriere dich in unserem Forum, wenn du noch keinen Account hast.</div>";
}
if( phpbb_hash($password) == $row['user_password'] )
{
   // Alles richtig, also irgendetwas tun, um Eingeloggt-Status in Session zu speichern
   $_SESSION['user'] = $username;

   echo '<h2>Willkommen '.$_SESSION['user'].'</h2>
         <div class="good">Login erfolgreich.</div>';

}
else
{
   // Falsches Passwort
   echo "<h2>Fehler</h2>
         <div class='bad'>Du hast ein falsches Passwort eingegeben</div>";
}

}

else {

  echo '<h2>Login</h2>
<form action="login.php" method="POST"><table width="100%"><tr>
<td width="45%" align="left">Username:
<input name="username" type="text" /></td>
<td width="45%" align="left">Passwort:
<input name="password" type="password" /></td>
<td width="10%" align="left"><input value="Login" type="submit" /></td></tr>
</table>
</form>
Wenn du noch keinen Account auf Panferno.net hast, kannst du dich kostenlos in unserem Forum registrieren.';

}

?>


<?php include("include/copyright.php");?></div>

Beitrag von **nickvergessen** » 27.12.2008 16:47

Vllt hilft dir das hier:
http://www.lpi-clan.de/viewtopic.php?f=26&t=3550

Yanko · Beitrag von **Yanko** » 27.12.2008 20:39

ich will bloß das passwort entschlüsseln und es dann mit dem eingegebenen vergleichen und das eingegeben verschlüsseln dass es gleich wie das aus der db is

Beitrag von **Mahony** » 27.12.2008 20:51

Hallo

ich will bloß das Passwort entschlüsseln...

Das geht nicht, da nur der Hash-Wert (MD5+Salt) des Passworts in der Datenbank gespeichert wird. Ein entschlüsseln ist NICHT möglich. Du kannst lediglich die beiden Hash-Werte vergleichen.

Grüße: Mahony

Beitrag von **Dr.Death** » 27.12.2008 20:51

Du kannst kein Passwort entschlüsseln.....

Du kannst nur das eingegebene Passwort übergeben.

Durch:

Code: Alles auswählen

//Wenn username und passwort uebergeben worden sind, starte einen Anmeldeversuch
if (isset($username) && isset($password))
{
    $auth->login($username, $password, $autologin, $viewonline);
}

Wird das Passwort aus $password und der Benutzername aus $username der API übergeben und ein Login Versuch durchgeführt.

Ist der Login Versuch erfolgreich, wird das Objekt $user gefüllt sein.

Daher gilt:

Code: Alles auswählen

if ($user->data['is_registered'])
{
    // Hier steht der Code für ein erfolgreich eingeloggter User
    echo "Du bist angemeldet.<br /><br />";
}

Yanko · Beitrag von **Yanko** » 27.12.2008 20:55

und wenn ich das eingegebene verschlüssel und es dann vergleiche

Dave · Beitrag von **Dave** » 27.12.2008 20:58

willst du ne session im Forum erzeugen? Dann mach das so wie Dr.Death es sagte. Weil das ist die einfachste möglichkeit. Wieso das Rad neu erfinden

Code: Alles auswählen

// Daten holen; request_var() funktioniert über POST und GET und schützt vor SQL-Injections 
$username = request_var("username", "", true); 
$password = request_var("password", "", true);

Also das ist nicht ganz richtig. Wenn du request_var() nicht neu geschrieben hast schützt es NICHT vorl sql injektion.

MfG
Dave

Yanko · Beitrag von **Yanko** » 27.12.2008 21:01

Ich versteh jetzt gar nix mehr kann mir einfach jemand den code so anpassen dass es klappt??

was muss ändern dass die PW nicht mehr verschlüsselt werden??

lieber kein schutz und dafür klappst

Beitrag von **Dr.Death** » 27.12.2008 21:07

Da du die fertige API nicht nutzen möchtest,

siehe die Dateien:

includes/functions.php

Code: Alles auswählen

function phpbb_check_hash($password, $hash)

oder:
includes/auth/auth_dp.php

Code: Alles auswählen

	// Check password ...
	if (!$row['user_pass_convert'] && phpbb_check_hash($password, $row['user_password']))

Yanko · Beitrag von **Yanko** » 27.12.2008 21:08

was muss ich mit den dateien machen