azidG Skrevet 6. juli 2003 Skrevet 6. juli 2003 Jeg har følgende funk. som autoriserer brukernavn/passord fra en form: function login($username, $password) { mysql_conn(); $result = mysql_query("SELECT id FROM users WHERE uname='$username' AND password='$password'"); if(mysql_num_rows($result) == 1) { $user_logged_in = $username; session_register("user_logged_in"); } else { echo "<script>alert('Wrong username/password'); history.back(-1);</script>"; } mysql_close(); } Og dette ser også ut til å funke, ser at "user_logged_in" blir registrert når jeg kjører en "session_is_registered". Problemet er bare at den er tom. Den skulle jo inneholdt verdien av $username, altså brukerid'en som legges inn i formen. Echo'er jeg $user_logged_in får jeg ingenting. Hva er galt?
Chiclins Skrevet 6. juli 2003 Skrevet 6. juli 2003 du kan jo registrere sessionen med å skrive $_SESSION['user_logged_in'] = $username;
azidG Skrevet 6. juli 2003 Forfatter Skrevet 6. juli 2003 Ja, nå fiksa jeg det! Måtte legge til dette for de som måtte være interesserte: function login($username, $password) { global $user_logged_in; // <--- Her! mysql_conn(); $result = mysql_query("SELECT id FROM users WHERE uname='$username' AND password='$password'"); if(mysql_num_rows($result) == 1) { $user_logged_in = $username; session_register("user_logged_in"); } else { echo "<script>alert('Wrong username/password'); history.back(-1);</script>"; } mysql_close(); }
azidG Skrevet 6. juli 2003 Forfatter Skrevet 6. juli 2003 du kan jo registrere sessionen med å skrive $_SESSION['user_logged_in'] = $username; Funket dette også!
jtsorensen Skrevet 26. juli 2003 Skrevet 26. juli 2003 Har du også mySQL databasen? Og sciptet som registrerer passord og brukernavn? Kunne du ha postet det her eller sendt det på mail?
BP da Coder Skrevet 26. juli 2003 Skrevet 26. juli 2003 hmmm. Du bør MD5-kryptere passordene. Mail meg på [email protected] hvis du trenger hjelp...
hackinnen^ Skrevet 26. juli 2003 Skrevet 26. juli 2003 Gjør det her på forumet så kan alle sammen se og lære.
BP da Coder Skrevet 26. juli 2003 Skrevet 26. juli 2003 oki. PHP har en innebygd MD5-funksjon, og det samme har MySQL. MD5 fungerer på den måten at du kan kryptere strenger, men disse strengene kan ikke dekrypteres. Det gir et grunnlag for en svært sikker passord-oppbevaring. La oss si at bruker "Pål" legger seg til med passord "cola_chips". Da kan vi legge han til med følgende query: mysql_query("INSERT INTO users (navn, passord) VALUES ('Pål', MD5('cola_chips') )"); når Pål da skal logge seg på senere: function login($username, $password) { global $user_logged_in; // <--- Her! mysql_conn(); $password = md5($password); //HER ER MD5.. $result = mysql_query("SELECT id FROM users WHERE uname='$username' AND password='$password'"); if(mysql_num_rows($result) == 1) { $user_logged_in = $username; session_register("user_logged_in"); } else { echo "<script>alert('Wrong username/password'); history.back(-1);</script>"; } mysql_close(); } Jeg håper at jeg fikk forklart meg godt nok nå... men ikke glem at en MD5 string trenger opptil 50 tegn i passordfeltet...ås viss du har den innstilt på VARCHAR(20) eller noe sånt, så bør du øke den. For mer informasjon om en-veis kryptering, søk på google på "php"+"MD5"
hackinnen^ Skrevet 26. juli 2003 Skrevet 26. juli 2003 Jmen ikke glem at en MD5 string trenger opptil 50 tegn i passordfeltet...ås viss du har den innstilt på VARCHAR(20) eller noe sånt, så bør du øke den. For mer informasjon om en-veis kryptering, søk på google på "php"+"MD5" MD5-strings blir aldri kortere eller lengre enn 32 tegn. MD5 er et såkallt enveis hash. Det går ikke an å decode(bruteforce går an, men det tar jo sykt lang tid(lykke til)).
ZoRaC Skrevet 28. juli 2003 Skrevet 28. juli 2003 Er det ikke slik at den alltid er 32 tegn da? Hva er "maks"?
texaco Skrevet 28. juli 2003 Skrevet 28. juli 2003 det sikreste er å lagre passord i md5 så bare hashe passordstrengen fra loginformen og sjekke denne mot databasen.. husker jeg ikke helt feil er det ikke vanskeligere enn: passordstreng=MD5(passordstreng) if(passordstreng==databasestreng) { logg inn } else { feilmelding osv ... }
petterg Skrevet 14. august 2003 Skrevet 14. august 2003 Om man har kryptert passord på sql databasen og i php koden hjelper vel ikke det stort? Passordet går vel fortsatt ukryptert over nett fra klientens browser til server!? Noen som har en løsning på det?
mohuhau Skrevet 17. august 2003 Skrevet 17. august 2003 Om man har kryptert passord på sql databasen og i php koden hjelper vel ikke det stort? Passordet går vel fortsatt ukryptert over nett fra klientens browser til server!?Noen som har en løsning på det? Bruke en sikker http protokoll, http med ssl støtte (https)
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå