|
[PHP]Zwei kodierte Strings miteinander vergleichen
Hi,
ich weiß, dass ist hier kein PHP-Forum. Da allerdings eine ähnliche Frage hier bereits gestellt wurde frage ich hier einfach mal nach. Ich will ein Passwort kodiert in eine MySQL-Datenbank speichern (=> Womit kodieren? Crypt, md5, oder was?). Dann soll beim Login geprüft werden, ob das Passwort übereinstimmt (=> Wie?). Das Problem ist, dass bei Crypt oder md5 immer andere Werte beim gleichen String herauskommen. Fragen sind hervorgehoben... Chris |
Womit kodieren? Ganz einfach. Nimmst du dir die Funktion md5, oder die Funktion sha1: (ist eigentlich egal, obwohl SHA1 etwas sicherer sein sollte)
Definiert sind die als folgendes:
Code:
Nun speicherst du bei der Anmeldung das gehashte Passwort des Typen so in der Datenbank:
string md5 ( string str )
string sha1 ( string str )
Code:
wo $passwd das gehashte Passwort ist und $_POST['passwort'] das eingegebene Klartext Passwort.
$passwd = sha1($_POST['passwort']);
Wie du dann die Variable in deine DB packst, weißt du wahrscheinlich besser als ich ... Wie du das dann vergleichst? Ganz einfach: Beim Login machst du das gleiche:
Code:
Wenn bei dir für zwei verschiedene Aufrüfe der md5() oder der sha1() Funktion was verschiedenes für den gleichen String rauskommt, ist DEFINITIV was kaputt bei dir, oder du machst was falsch ... ;)
$eingegebenes_passwd = sha1($_POST['passwort']);
if ($passwd_aus_datenbank == $eingegebenes_passwd) { print("Herzlichen Glückwunsch, du bist der Chef."); } Du kannst auch die crypt() Funktion benutzen, welche jetzt bei PHP am sichersten ist, weiß ich nicht. Ich tippe mal auf crypt() mit MD5 oder Blowfish als Algorithmus, aber der muss wiederum nicht auf jedem System verfügbar sein. Krank. ;) (Edit: Die crypt() Funktion würde ich dir für den Anfang nicht empfehlen - da kommt wirklich immer was anderes raus, auch bei gleichen Strings. Liegt an der Funktionsweise: Um das sicherer zu machen, wird noch ein Zufallswert mit verschlüsselt. Den müsstest du auch irgendwie in der DB speichern und dann beim checken wieder auslesen. Nimm einfach md5() und alle sind glücklich. ;)) Philipp |
Re: [PHP]Zwei kodierte Strings miteinander vergleichen
Zitat:
|
Moin,
@Philipp: du weißt ja worum es geht (TNW). Am besten schaust du dir das gleich mal. Lade das ganze gleich hoch. Bitte nur in der Datei db_ops.php und ggf. in der login_check.php was ändern. Damit man sich einloggen kann. @Chewie: so hmm... dann liegts woanders dran. Na gut. Trotzdem dank an euch beide... Chris |
Kurz zur Info:
MD5 gibt IMMER den gleichen Wert zurück. Die Passwörter im phpBB Forum sind durch den MD5 kodiert. Beim Crypt übergibt man, z.B., zwei "Seed"-Zeichen, diese bestimmen das Ergebnis und sind auch die ersten beiden Zeichen im Ergebniss. Der gleiche Seed ergibt auch bei Crypt immer das gleiche Ergebnis. ...:cat:... |
Hi,
ja, keine Ahnung, was ich gemacht habe... Zumindest funktioniert es jetzt. Chris |
Zitat:
|
@M.: stimmt... Ich fühle mich jetzt sehr mies. Man hat mich mit jemanden von Microsoft verglichen... :cry: :cry: :cry: ;) :lol:
Ich vermute, dass ich einen Fehler mit den Variablennamen gemacht habe und deswegen zwei verschiedene Sachen herauskamen... Chris |
warum willst du das passwort vorher codieren?
mysql codiert passwoerter selbst und das ist meist sicherer. du muss als typ deinens passwort-feldes nur "password" auswaehlen und schon werden alle daten, die du darin abspeicherst codiert. beispiel: $sql = "insert into user (name,passwort) values ('$myname', password('$mypasswort'));"; |
Ähm... Hallo? Eine Frage: wie soll ich dann bitte $eingPasswd (unkodiert) mit dem aus Passwort aus der Datenbank (kodiert) vergleichen, wenn ich das so machen würde, wie du es gesagt hast? Allerdings arbeite ich lieber mit PHP-Befehlen...
Chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:01 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz