Userdaten in selbstprogrammiertem nutzen

sowiso · Beitrag von **sowiso** » 23.10.2007 19:03

Hallo!

Kann mir jemand sagen wie ich vergleichen kann ob die eingegeben daten mit den verschlüsselten daten übereinstimmen und wie ich dann auch ein neues Passwort generieren kann?

Derzeit lese ich folgendermaßen die daten aus der DB uas:

Code: Alles auswählen

$res = mysql_query("select * from mitglieder where username like '$username'");
$num = mysql_affected_rows();
if ($num>0)
{
$dbusername = mysql_result($res,0,"username");
$dbkennwort = mysql_result($res,0,"kennwort");
}

und dann kann ich die variabeln ganz normal verwenden.

Danke für die Hilfe

Beitrag von **bantu** » 23.10.2007 21:26

Code: Alles auswählen

// New Password
$new_password = md5($old_password);

Code: Alles auswählen

// Check Password
if ( md5($eingabe) == $dbkennwort)
{
     $login_success = true;
}

FCM · Beitrag von **FCM** » 23.10.2007 21:29

Um zu vergleichen ob das Passwort mit dem in der Datenbank übereinstimmt, müsstest du dies anwenden:

Code: Alles auswählen


$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

if ($dbkennwort == md5($password)) {
     echo "Das Passwort war richtig!";
} else {
     die("Das Passwort war falsch, Zugriff verweigert.");
}

Um das Passwort zu ändern musst du dies machen:

Code: Alles auswählen


$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$query = "UPDATE mitglieder SET password = '$password' WHERE username = '$username'";
$query = mysql_query($query);

Die Funktion mysql_real_escape_string() ist nötig, um den String zu maskieren - dies beugt einer SQL-Injection vor. Die Funktion md5() wandelt das von Benutzer eingegebene Passwort in einen MD5-Wert um, da es ja auch so in der Datenbank gespeichert ist.

Beitrag von **Boecki91** » 23.10.2007 21:48

FCM hat geschrieben:Um das Passwort zu ändern musst du dies machen:
Code: Alles auswählen
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$query = "UPDATE mitglieder SET password = '$password' WHERE username = '$username'";
$query = mysql_query($query);
Die Funktion mysql_real_escape_string() ist nötig, um den String zu maskieren - dies beugt einer SQL-Injection vor. Die Funktion md5() wandelt das von Benutzer eingegebene Passwort in einen MD5-Wert um, da es ja auch so in der Datenbank gespeichert ist.

Wenn du schon sagst das es ein md5 Hash ist wieso wandelst du den bei der Eingabe nicht auch schon um?

Das müsste nach meinen bescheidenden SQL-Kenntnissen möglich sein:

Code: Alles auswählen

$query = "UPDATE mitglieder SET password = MD5('$password') WHERE username = '$username'";

FCM · Beitrag von **FCM** » 23.10.2007 21:50

Boecki91 hat geschrieben:
FCM hat geschrieben:Um das Passwort zu ändern musst du dies machen:
Code: Alles auswählen
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$query = "UPDATE mitglieder SET password = '$password' WHERE username = '$username'";
$query = mysql_query($query);
Die Funktion mysql_real_escape_string() ist nötig, um den String zu maskieren - dies beugt einer SQL-Injection vor. Die Funktion md5() wandelt das von Benutzer eingegebene Passwort in einen MD5-Wert um, da es ja auch so in der Datenbank gespeichert ist.
Wenn du schon sagst das es ein md5 Hash ist wieso wandelst du den bei der Eingabe nicht auch schon um?

Das müsste nach meinen bescheidenden SQL-Kenntnissen möglich sein:
Code: Alles auswählen
$query = "UPDATE mitglieder SET password = MD5('$password') WHERE username = '$username'";

Ja, das ist Geschmackssache.

Beitrag von **bantu** » 23.10.2007 21:51

Oh.. jetzt seh ichs auch, die MD5-Funktion hat er schlichtweg vergessen.

Ob jetzt mit PHP oder MySQL ist fast egal. Eventuell haben andere Datenbanksysteme kein MD5.

(Ich weiß es nicht)

FCM · Beitrag von **FCM** » 23.10.2007 21:53

bantu hat geschrieben:Oh.. jetzt seh ichs auch, die MD5-Funktion hat er schlichtweg vergessen.

Ob jetzt mit PHP oder MySQL ist fast egal. Eventuell haben andere Datenbanksysteme kein MD5. (Ich weiß es nicht)

Warum vergessen? Hatte es in der If-Schleife ja eingebaut.

Beitrag von **bantu** » 23.10.2007 21:54

Im zweiten Code-Abschitt fehlt das MD5.

FCM hat geschrieben:

Code: Alles auswählen

$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$query = "UPDATE mitglieder SET password = '$password' WHERE username = '$username'";
$query = mysql_query($query);

Beitrag von **Boecki91** » 23.10.2007 21:55

FCM hat geschrieben: Ja, das ist Geschmackssache.

Und wenn man bei dir wieder das Passwort prüft, kann es nicht mehr stimmen. oder haben bantu und ich die md5 Umwandlung beide übersehen?

@bantu
mysql_query und mysql_real_escape_string werden wohl noch unwahrscheinlicher mit einer nicht mysql DB laufen. (Was für ein Satz?

)

Edit: 2 Beiträge wärend ich das hier Tippe...
Edit: Ok 3

FCM · Beitrag von **FCM** » 23.10.2007 21:56

bantu hat geschrieben:Im zweiten Code-Abschitt fehlt das MD5.
FCM hat geschrieben:
Code: Alles auswählen
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$query = "UPDATE mitglieder SET password = '$password' WHERE username = '$username'";
$query = mysql_query($query);

Achso, da, entschuldigung, habe mich versehen.