Olen kirjoittamassa login-sivustoa php:llä ja mysql:llä. Nyt olisi tarkoitus tarkistaa, täsmäävätkö käyttäjien tunnukset ja salasanat.
Jostain syystä en kuitenkaan saa password('salasana') -tekniikalla haettua salasanaa tietokannasta. Jos teen salasanasta tavallisen tekstin ilman passwordia, saa php noudettua oikeat tiedot kannasta.
Tässä koodi:
..........
$avain = time() . $tunnus . $salasana . getenv("REMOTE_ADDR");
$istuntotunnus = md5($avain);
$tunnus = md5($tunnus);
// Vika on salasanassa!!! salasana=('$salasana')
if (!$kysely = mysql_query("update kayttaja set istuntotunnus='$istuntotunnus' WHERE md5(tunnus) = '$tunnus' and salasana=password('$salasana')", $yhteys))
{
header("Location: index.php");
exit;
}
else .. .......
Ehdotuksia
12
588
Vastaukset
- keksa
miksi säätää itse noita istuntotunnuksia, kun php tekee sen automaagisesti? Miksi pistää niitä kantaan, kun ne kulke urlissa mukana tai cookiessa?
Tuo ei ole kovin vahva sisäänkirjaus, kun käyttää voi suoraan naputella index.php selaimeensa ja pääsee aloitussivulle.
jokaisen php-sivun alkuun vaan sessio käyntiin
index.php:
session_start();
if(!isset($_SESSION['login']))
{
$_SESSION['login'] = 0;
echo "
Login
Tunnus:
Salasana:
". $_SESSION['error'] ."
document.Login.tunnus.focus();
";
}
elseif($_SESSION['login'] == 1)
{
print- jfjf
"miksi säätää itse noita istuntotunnuksia, kun php tekee sen automaagisesti? Miksi pistää niitä kantaan, kun ne kulke urlissa mukana tai cookiessa?"
Ilmeisesti sinulle session kaappaus on vieras asia?
"Tuo ei ole kovin vahva sisäänkirjaus, kun käyttää voi suoraan naputella index.php selaimeensa ja pääsee aloitussivulle."
Katsoitkos tuota koodia?
Mikäli tietoa ei onnistu päivittää niin heitetään index.php sivulle muutoin else.
Ja olettaisin, että jokaisella salatulla sivulla on koodinpätkä joka tutkii onko oikeuksia vai ei.
- jfjf
Mitenkäs tallennat salasanan tietokantaan?
Kai laitat sen tuon password function kautta?
MD5 on ihan eri asia.- nytnyt
Homma toimii niin, että loin phpmyadminissa sql-lausekkeella "insert into kayttaja (tunnus,salasana) values ('esko',password('esko'))".
Eli tunnuksen ja salasanan pitäisi olla esko, mutta php ei osaa avata salasanaa, koska sitä luodessa on käytetty tuota "password('esko')" -temppua. Jos en tee salasanasta passwordia, ohjelma osaa verrata muuttujia oikein.
Missä siis vika? - jfjf
nytnyt kirjoitti:
Homma toimii niin, että loin phpmyadminissa sql-lausekkeella "insert into kayttaja (tunnus,salasana) values ('esko',password('esko'))".
Eli tunnuksen ja salasanan pitäisi olla esko, mutta php ei osaa avata salasanaa, koska sitä luodessa on käytetty tuota "password('esko')" -temppua. Jos en tee salasanasta passwordia, ohjelma osaa verrata muuttujia oikein.
Missä siis vika?Kyllä tuon pitäisi toimia, testasin vielä.
Kirjoitappat phpMyAdminissa tämmöinen kysyly
SELECT *
FROM kayttaja
WHERE salasana = password('esko')
Mutta koodissasi ihmetyttää
$tunnus = md5($tunnus);
md5(tunnus) = '$tunnus'
Miksi et vain tutki tunnusta selväkielisenä?
Sekä nyt kun tuota koodiasi ajankanssa katsoo niin
"if (!$kysely = mysql_query("...", $yhteys))"
Kohta on virheellinen. mysql_query palauttaa true jos kysely onnistuu, kysely onnistuu myös vaikka mitään ei päivitetäkkään. Joten käytä http://fi.php.net/manual/fi/function.mysql-affected-rows.php - HMMMMMmmm
jfjf kirjoitti:
Kyllä tuon pitäisi toimia, testasin vielä.
Kirjoitappat phpMyAdminissa tämmöinen kysyly
SELECT *
FROM kayttaja
WHERE salasana = password('esko')
Mutta koodissasi ihmetyttää
$tunnus = md5($tunnus);
md5(tunnus) = '$tunnus'
Miksi et vain tutki tunnusta selväkielisenä?
Sekä nyt kun tuota koodiasi ajankanssa katsoo niin
"if (!$kysely = mysql_query("...", $yhteys))"
Kohta on virheellinen. mysql_query palauttaa true jos kysely onnistuu, kysely onnistuu myös vaikka mitään ei päivitetäkkään. Joten käytä http://fi.php.net/manual/fi/function.mysql-affected-rows.phpTuohon ensimmäiseen tuli vastaukseksi "MySQL returned an empty result set (i.e. zero rows). (Query took 0.0010 sec)", vaikka salasana ja tunnus ovat olemassa......
- jfjf
HMMMMMmmm kirjoitti:
Tuohon ensimmäiseen tuli vastaukseksi "MySQL returned an empty result set (i.e. zero rows). (Query took 0.0010 sec)", vaikka salasana ja tunnus ovat olemassa......
Sul ei oo sitä tietoo siel, koitas tunkasta se tieto uudestaan ja katso että se todella menee sinne. Ja minkäs tyyppinen tuo kenttä on mihkä salasanan oot laittanu?
- Näintämä
jfjf kirjoitti:
Sul ei oo sitä tietoo siel, koitas tunkasta se tieto uudestaan ja katso että se todella menee sinne. Ja minkäs tyyppinen tuo kenttä on mihkä salasanan oot laittanu?
Eli varchar(30). Koodattu salasana näkyy browsella, mutta vertaaminen password('esko'):lla ei edelleenkään toimi. Bugi mysql:ssä?
- Näinminullakin
Näintämä kirjoitti:
Eli varchar(30). Koodattu salasana näkyy browsella, mutta vertaaminen password('esko'):lla ei edelleenkään toimi. Bugi mysql:ssä?
I'm having problems with bluehost's mysql password() function if I execute following SQL query on 'admins' table with two fields/columns 'username' and 'passwd':
insert into admins values ('user',password('4321'));
it would show one row inserted, and if I try to search such username and password:
select * from admins where username = 'user' and passwd=password('4321');
it would output "MySQL returned an empty result set (i.e. zero rows). (Query took 0.0006 sec)" ?? It works and outputs 'one row found' if I just query on the username='user' without the password part.
Thanks in advance, - jepsjee
Näinminullakin kirjoitti:
I'm having problems with bluehost's mysql password() function if I execute following SQL query on 'admins' table with two fields/columns 'username' and 'passwd':
insert into admins values ('user',password('4321'));
it would show one row inserted, and if I try to search such username and password:
select * from admins where username = 'user' and passwd=password('4321');
it would output "MySQL returned an empty result set (i.e. zero rows). (Query took 0.0006 sec)" ?? It works and outputs 'one row found' if I just query on the username='user' without the password part.
Thanks in advance,Ilmeisesti vika löytyi. Kasvatin varcharin koon 64:ään, niin johan salanat löytyvät. Ilmeisesti hash(?)hattu salasana kasvoi kokoa yli tuo 30 merkin rajan.
- jfjf
jepsjee kirjoitti:
Ilmeisesti vika löytyi. Kasvatin varcharin koon 64:ään, niin johan salanat löytyvät. Ilmeisesti hash(?)hattu salasana kasvoi kokoa yli tuo 30 merkin rajan.
Etkö todellakaan saanut mitään virheilmoitusta kun yritit lisätä salasanaa Varchar(30) kenttään?
Kokeilin tuollee niin MySQL sanoo #1406 - Data too long for column 'salasana' at row 1
Eikä sinne mene mitään, joten sen takia kysely palautti aina tyhjän.
password-functio muodostaa 41 tavuisen salasanan, jotenka char(41) pitää sille olla. Toki se tuolla varcharrilla toimii, mutta hitaampi kun pitää tutkia mihkä se päättyy. - Ei tule ei
jfjf kirjoitti:
Etkö todellakaan saanut mitään virheilmoitusta kun yritit lisätä salasanaa Varchar(30) kenttään?
Kokeilin tuollee niin MySQL sanoo #1406 - Data too long for column 'salasana' at row 1
Eikä sinne mene mitään, joten sen takia kysely palautti aina tyhjän.
password-functio muodostaa 41 tavuisen salasanan, jotenka char(41) pitää sille olla. Toki se tuolla varcharrilla toimii, mutta hitaampi kun pitää tutkia mihkä se päättyy.Ei tule virheilmoitusta. 1 row added tulee, siinä kaikki. Onneksi toimii nyt.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 915906
Riikan kukkaronnyöri on umpisolmussa
Kulutus ei lähde liikkeelle, koska kansalaiset eivät usko, että: – työpaikka säilyy – tulot eivät romahda – talous ei h804772Tanskan malli perustuu korkeaan ansioturvaan
Ja vahvoihin työllisyys- ja kotoutumispalveluihin. Suomessa Riikka on leikannut juuri näitä: palkkatukea, työttömyysturv933001Epäily: Räppäri yritti tappaa vauvansa.
https://www.mtvuutiset.fi/artikkeli/epaily-mies-yritti-tappaa-vauvansa/9300728 Tämä on erittäin järkyttävä teko täysin p262780Anteeksipyyntöni
Jätän tähän anteeksipyyntöni sinulle, koska en voi sanoa sitä missään muuallakaan. Pyydän anteeksi, jos purkamani tuska252046Sydämeni valtiaalle
En täältä aio asioita kysellä. Haluan tuoda tiedoksesi, että pohjimmiltani en ihmisiä tahdo satuttaa ja ajattelen muiden1191496Mikseivät suomalaiset kuluta? istutaan vaan säästötilirahojen päällä..
...Ihan haluamalla halutaan että maa menee konkurssiin? Ihan käsittämätöntä, ennätymäärät säästöjä sekä konkursseja sam3351047Oletko tyytyväinen
Tämän hetkiseen tilanteeseenne? Odotatko, että lähennytte vai yritätkö päästä yli ja eteenpäin?851018Jos oikeasti haluat vielä
Tee mitä miehen täytyy tehdä ja lähesty rohkeasti 📞 laita vaikka viestiä vielä kerran 😚125950- 48754