phpBB.de

Hallo,

ich wollte die in der Datenbank von einem phpBB.de Forum für ein eigenes Projekt nutzen. Also das die Leute, die sich im Forum bereits angemeldet haben auch auf einer von mir geschriebenen Zusatzseite einloggen können. Beim Passwort abgleich habe ich jetzt festgestellt, das phpBB wohl nicht einfach nur mit einer MD5 Verschlüsselung arbeitet.

Wenn ich zum Beispiel als Passwort Test habe und diese mit dem md5 Befehl umwandel, kommt ein anderer String heraus als wenn ich test als Passwort im Forum genommen habe und da in die user Tabelle gucke...

es ist md5 +salt

Du könntest sonst auch mal die Forensuche benutzen.
Es wurde schon mehrfach erwähnt, dass die Passwörter noch mit einem kleinem salt gewürzt werden

Da ich mich in dem Quellcode des phpBB nicht wirklich auskenne, gehe ich mal davon aus das das irgendeine eigene Funktion vom Forum. Muss ich jetzt alles durchsuchen oder kann mir wer sagen wie ich diese Funktion reproduzieren kann? Ich will einfach nur das mein Script die eingegebenen Passwörter mit denen aus Datenbank abgleicht.

includes/functions.php

einfach mal schauen was da so Password mäßig drin ist. Alles weitere findest du über die Suche.

Habe mir die Funktionen angeguckt. Sind mir ehrlich gesagt zu Umfang reich, dabei wollte ich einfach nur, das sich die Leute auf der Projektseite mit den gleichen Daten einloggen können wie im Forum. Muss ich wohl auf ein anderes Forum umsteigen geht glaube ich schneller als bis ich das alles auseinander gebastelt habe.

Besten Dank. War wirklich nicht schwer!

2 Funktionen in meinen Code kopiert und fertig!

lg
RcCluster

RcCluster hat geschrieben:Besten Dank. War wirklich nicht schwer!

2 Funktionen in meinen Code kopiert und fertig!

lg
RcCluster

...könntest Du evtl. die beiden Funktionen veröffentlichen, um dies evtl. auch umsetzen zu können - oder wenigstens einen Anhaltspunkt zu haben?
Thnx!
Ming

_Ming_ hat geschrieben:

RcCluster hat geschrieben:Besten Dank. War wirklich nicht schwer!

2 Funktionen in meinen Code kopiert und fertig!

lg
RcCluster

...könntest Du evtl. die beiden Funktionen veröffentlichen, um dies evtl. auch umsetzen zu können - oder wenigstens einen Anhaltspunkt zu haben?
Thnx!
Ming

function _hash_encode64($input, $count, &$itoa64)
function _hash_crypt_private($password, $setting, &$itoa64)

dabei liefert letztere das passwort, wie es in der db gespeichert sein muss.

eingaben:
$password -> vom user eingegeben
$setting -> user_password aus der db
$itoa64 -> nen langer string. steht auch in functions.php

und so verwende ich das dann:

if (_hash_crypt_private($pwd, $user_password, $itoa64) == $user_password)

lg
RcCluster

Laire hat geschrieben:Habe mir die Funktionen angeguckt. Sind mir ehrlich gesagt zu Umfang reich, dabei wollte ich einfach nur, das sich die Leute auf der Projektseite mit den gleichen Daten einloggen können wie im Forum. Muss ich wohl auf ein anderes Forum umsteigen geht glaube ich schneller als bis ich das alles auseinander gebastelt habe.

Für so etwas gibt es die auth plugins http://wiki.phpbb.com/Authentication_plugins