Hi,
ich weiß, dass ist hier kein PHP-Forum. Da allerdings eine ähnliche Frage hier bereits gestellt wurde frage ich hier einfach mal nach.
Ich will ein Passwort kodiert in eine MySQL-Datenbank speichern (=> Womit kodieren? Crypt, md5, oder was?). Dann soll beim Login geprüft werden, ob das Passwort übereinstimmt (=> Wie?).
Das Problem ist, dass bei Crypt oder md5 immer andere Werte beim gleichen String herauskommen.

Fragen sind hervorgehoben...

Chris

Womit kodieren? Ganz einfach. Nimmst du dir die Funktion md5, oder die Funktion sha1: (ist eigentlich egal, obwohl SHA1 etwas sicherer sein sollte)

Definiert sind die als folgendes:

Nun speicherst du bei der Anmeldung das gehashte Passwort des Typen so in der Datenbank:

wo $passwd das gehashte Passwort ist und $_POST['passwort'] das eingegebene Klartext Passwort.

Wie du dann die Variable in deine DB packst, weißt du wahrscheinlich besser als ich ...

Wie du das dann vergleichst? Ganz einfach:

Beim Login machst du das gleiche:

Wenn bei dir für zwei verschiedene Aufrüfe der md5() oder der sha1() Funktion was verschiedenes für den gleichen String rauskommt, ist DEFINITIV was kaputt bei dir, oder du machst was falsch ...

Du kannst auch die crypt() Funktion benutzen, welche jetzt bei PHP am sichersten ist, weiß ich nicht. Ich tippe mal auf crypt() mit MD5 oder Blowfish als Algorithmus, aber der muss wiederum nicht auf jedem System verfügbar sein. Krank.

(Edit: Die crypt() Funktion würde ich dir für den Anfang nicht empfehlen - da kommt wirklich immer was anderes raus, auch bei gleichen Strings. Liegt an der Funktionsweise: Um das sicherer zu machen, wird noch ein Zufallswert mit verschlüsselt. Den müsstest du auch irgendwie in der DB speichern und dann beim checken wieder auslesen. Nimm einfach md5() und alle sind glücklich. )

Philipp

Echt? Zumindest bei md5 ist der String bei mir einmalig.

Moin,
@Philipp: du weißt ja worum es geht (TNW). Am besten schaust du dir das gleich mal. Lade das ganze gleich hoch. Bitte nur in der Datei db_ops.php und ggf. in der login_check.php was ändern. Damit man sich einloggen kann.

@Chewie: so hmm... dann liegts woanders dran.

Na gut. Trotzdem dank an euch beide...

Chris

Kurz zur Info:

MD5 gibt IMMER den gleichen Wert zurück. Die Passwörter im phpBB Forum sind durch den MD5 kodiert.

Beim Crypt übergibt man, z.B., zwei "Seed"-Zeichen, diese bestimmen das Ergebnis und sind auch die ersten beiden Zeichen im Ergebniss. Der gleiche Seed ergibt auch bei Crypt immer das gleiche Ergebnis.

......

Hi,
ja, keine Ahnung, was ich gemacht habe... Zumindest funktioniert es jetzt.

Chris

Hört sich nach einen Mitarbeiter bei Microsoft an

@M.: stimmt... Ich fühle mich jetzt sehr mies. Man hat mich mit jemanden von Microsoft verglichen...
Ich vermute, dass ich einen Fehler mit den Variablennamen gemacht habe und deswegen zwei verschiedene Sachen herauskamen...

Chris

warum willst du das passwort vorher codieren?

mysql codiert passwoerter selbst und das ist meist sicherer. du muss als typ deinens passwort-feldes nur "password" auswaehlen und schon werden alle daten, die du darin abspeicherst codiert.

beispiel:
$sql = "insert into user (name,passwort) values ('$myname', password('$mypasswort'));";

Ähm... Hallo? Eine Frage: wie soll ich dann bitte $eingPasswd (unkodiert) mit dem aus Passwort aus der Datenbank (kodiert) vergleichen, wenn ich das so machen würde, wie du es gesagt hast? Allerdings arbeite ich lieber mit PHP-Befehlen...

Chris