Coder Forum

Trainee

2

Wednesday, March 23rd 2011, 5:27pm

Mistiger HTML-Code und für SQL-Injection offener Query. Niemals einfach Daten in einen Query tun. Vorher immer Escapen.
Hast du dir mal angeguckt, ob und wenn was in $row drin ist? Oder hast du mal versucht den Query mit eingesetzten Namen im PHPmyAdmin auszuführen?

Professional

3

Wednesday, March 23rd 2011, 5:29pm

wie ich schon sagte:
Ich hab von MySQl keinen Plan... und deshalb is das, was du da sagst fachchinesisch für mich

Professional

4

Wednesday, March 23rd 2011, 6:16pm

Also grundsätzlich gibt es ein paar Sicherheitslücken in deinem Script. Auf die können wir später noch eingehen.

Ich denke mal du hast das Passwort in der MySQL Datenbank direkt reingeschrieben? Also in der Zeile, in der z.B. der Benutzer test steht, wird auch direkt das Passwort "test" stehen. In der MySQL Datenbank muss das Passwort natürlich auch verschlüsselt (in diesem Fall mit md5) hinterlegt werden)

Professional

5

Wednesday, March 23rd 2011, 8:19pm

das hab ich bereits getan.
Hie rmal ein Screenshot:

Trainee

6

Wednesday, March 23rd 2011, 9:52pm

Das ist die korrekte Codierung mit md5.
Aber wie gesagt: was bekommst du mit

	PHP Quellcode
1	print_r($row);

angezeigt, wenn du dich mit den korrekten Daten einloggst?

Professional

7

Thursday, March 24th 2011, 3:05pm

nur das hier:
Benutzername und/oder Passwort waren falsch. Login

Was mir aber selber heut in der Schule eingefallen ist:
Muss ich vllt. irgendwo den Tabellennamen hinterlegen?

Trainee

8

Thursday, March 24th 2011, 5:13pm

Heißt deine Tabelle nicht "login"? o.O

Professional

9

Thursday, March 24th 2011, 5:14pm

nein, die heißt "Teamecke-login"

kann mir jemand sagen, was ich dann verändern muss? das einzigste mit login im code war das heir:

	PHP Quellcode
1	$abfrage = "SELECT username, passwort FROM login WHERE username LIKE '$username' LIMIT 1";

habs schon ausgetauscht, das "login", mit "Teamecke-login", aber das funzt auch nicht...

Edit: war schon das... hab ne neue Tabelle mit nem anderem Namen gemacht (teamecke_login), der ging...
also das hat sich erledigt...
Allerdings hätte ich jez noch was anderes...

Und zwar hab ich linsk in der Navi stehen: "Logout []" und in den Klammern hätte ich gerne den Namen stehen...

This post has been edited 2 times, last edit by "Fipsi" (Mar 24th 2011, 5:40pm)

Nippel

Intermediate

Posts: 101

10

Thursday, March 24th 2011, 5:56pm

	PHP Quellcode
1	<?php echo "Logout [".$_SESSION["username"]."]"; ?>

Professional

11

Thursday, March 24th 2011, 6:06pm

achso, also immer wenn ich was aus der Datenbank sehen will

	PHP Quellcode
1	echo 'bla ' . $_SESSION['[..]'] . ' bla';

Und wie kann ich das machen, dass wenn ich auf logout wirklich ausgeloggt werd? weil ich habs ausprobiert: ich konnte wieder so rein...

ich hab die seite so:

PHP Quellcode

<?php
 session_start(); 
 [...]
 if(!isset($_SESSION["email_adresse"]))
   {
   echo 'Bitte erst <a href="login.html">einloggen</a>';
   exit;
   } 
?>

vince

Master

Posts: 1,104

12

Thursday, March 24th 2011, 6:14pm

Ich weiss nicht genau was du da machst, aber du solltest dir erstmal ein Tutorial angucken.

Learning by doing ist gut, aber ohne Grundlage bringt dich das 0 vorran !

Professional

13

Thursday, March 24th 2011, 6:17pm

hm... ok... ehrlich gesagt, hab ich bisher fast nur so gelernt

na ja... dann setz ich mich mal an ein tutorial... mal gucken, vllt. find ich ja eins, mit dem ich weit komm... hatte schon eins, aber da war ich ziemlich shcnell draußen...

Edit:

ich seh gerade:
Wenn cih mit Benutzername Fipsi einlogge kommt aber der username "test" ($_SESSION["username"), auch wenn ich mich als jemand anderer eingeloggt habe...

This post has been edited 1 times, last edit by "Fipsi" (Mar 24th 2011, 6:24pm)

Nippel

Intermediate

Posts: 101

14

Thursday, March 24th 2011, 7:37pm

Wenn du dich ausloggen willst dann musst du die Session zurücksetzen mit unset.
Und nein $_SESSION liest Sachen aus der Session aus und nicht aus der Datenbank

Für Datenbank-Abfragen brauchst du sowas zB.

PHP Quellcode

$sql = "SELECT * FROM BLA";
$sql = mysql_query($sql);
$row = mysql_fetch_object($sql);
 
echo $row->tabellen_spalte;

Eine Art Sachen auszulesen.
Schau dir am besten MySQL Abfragen an .. Dort gibt es auch eine andere Möglichkeit anstatt mysql_fetch_object(); zu benutzen.

Learning by doing ist das beste

Auch wenn man 0 Ahnung hat.
Google hilft

Links:

http://php.net/manual/en/function.unset.php
http://www.selfphp.info/forum/showthread.php?t=13544
http://www.schattenbaum.net/php/abfrage.php

Trainee

15

Thursday, March 24th 2011, 10:12pm

http://tut.php-quake.net/de/

Professional

16

Friday, March 25th 2011, 8:52am

Wegen der Sicherheit solltest du deine MySQL Abfrage auch immer wie folgt umbauen:

PHP Quellcode

$abfrage = "SELECT username, passwort FROM login WHERE username LIKE '".mysql_real_escape_string($username)."' LIMIT 1";

Alle Variabeln, die du in deinen Abfrage verwendest musst du parsen. Okay alle muss man nicht, aber es schadet nicht, wenn du das einfach schon aus Gewohnheit so machst. Bei Zahlenwerten verwendest du intval() und bei Strings etc. immer mysql_real_escape_string()

This post has been edited 1 times, last edit by "Szabo" (Mar 25th 2011, 1:28pm)

Exi

Intermediate

Posts: 91

17

Friday, March 25th 2011, 10:31am

Ich verbessere mal eben den "Vorschreiber".

Die Abfrage muss natürlich so aussehen

PHP Quellcode

$abfrage = "SELECT username, passwort FROM login WHERE username LIKE '".mysql_real_escape_string($username)."' LIMIT 1";

Im Satz darunter Stand es ja schon richtig

Professional

18

Friday, March 25th 2011, 1:29pm

Oh ja, danke - im halbschlaf hat das Denken noch nicht so richtig funktioniert :-D

CoPyMaus

Beginner

Posts: 4

19

Sunday, March 27th 2011, 5:57pm

Quoted

PHP Quellcode

$username = $_POST["username"];
$passwort = md5($_POST["password"]);
 
$abfrage = "SELECT username, passwort FROM login WHERE username LIKE '$username' LIMIT 1";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis);

Mich würde eher interessieren was die Suche "LIKE" in der Abfrage zu suchen hat. Benutzername und Passwörter sind doch ehh eindeutig und sollten nicht geschut werden. Im weiteren fehlen die %-WildCards um einer Suche noch den letzten Schliff zu geben. Aber das würde bedeuten, das alle Usernamen die z.B. den Namen Test enthalten, in betracht kämen. Bei deinem derzeitigen Script könnte es dazu führen, das der Member sich garnicht erst einloggen kann, da ja auf 1 Eintrag der db, der das Wort Test im Namen enthält, limitiert wird.

Im zweiten Ansatz, halte ich es für unnütz, das Passwort nachträglich auf Richtigkeit zu prüfen. Mit einfachen Mitteln kann man die Datenbank selber benuzten, um das Passwort zu validieren und somit den Benutzer zu verifizieren.

PHP Quellcode

//Eingaben einlesen und direkt escapen, so das keine Injections durchgeführt werden können
 
 $username = mysql_real_escape_string($_POST["username"]);
$passwort = md5(mysql_real_escape_string($_POST["password"]));
 
//anschließend die Datenbank fragen
$abfrage = mysql_query("SELECT * FROM login WHERE username = '".$username."' AND passwort = '".$passwort."' LIMIT 1");
 
//Wenn man $abfrage nun auf Inhalt prüft (treffer zählen), kann entweder nur 0 oder 1 raus kommen. Diese werte sind mit False und True gleich zu stellen. 
//True ist $abfrage nur, wenn in der Datenbank, der Benutzername zusammen mit dem Passwort gefunden werden konnte. Ansonsten ist $abfrage immer false (leer)
 
If (mysql_num_rows($abfrage))
 	echo "Login erfolgreich";
else
	echo "Username und/oder Passwort falsch!";

So long
CoPyMaus

This post has been edited 1 times, last edit by "CoPyMaus" (Mar 27th 2011, 6:11pm)

Professional