Problem bei der Passwortabfrage (PHP/MYSQL)

Sucki

Ich habe eine Anmeldung geschrieben und es klappt auch jede Abfrage nur die mit dem Passwort funktioniert irgendwie nicht. Ich bitte um Hilfe, da ich leider schon zu lange an dem Problem hänge. Danke!

Ich habe es durch die Kommentare gut Strukturiert gehalten und man sieht mein rumprobieren bei dem Fehler. Danke schonmal für jede Hilfe!

Script:

PHP

<?php

                //guckt, ob es einen Login Cookie gibt
                if(isset($_COOKIE['ID_my_site']))

                //wenn es einen gibt, dann leitet es einen zu der Accespage weiter
                {
                $Username = $_COOKIE['ID_my_site'];
                $pass = $_COOKIE['Key_my_site'];
                $check = mysql_query("SELECT * FROM users WHERE Username = '$Username'")or die(mysql_error());
                    while($info = mysql_fetch_array( $check ))
                    {
                        if ($pass != $info['password'])
                        {
                        }
                        else
                        {
                        echo '<meta http-equiv="renew" content="0; URL=Impressum.php">';
                        exit; 

                        }
                    }
                }

                //wenn der Login übermittelt wurde
                if (isset($_POST['submit'])) 
                { // wenn der Login übermittelt wurde

                    //kontrolliert ob die Felder ausgefüllt sind
                    if(!$_POST['Username'] | !$_POST['pass']) 
                    {
                        die('Sie haben nicht alle Felder ausgefüllt.');
                    }
                    //gleicht es mit der Datenbank ab

                    if (!get_magic_quotes_gpc()) 
                    {
                        $_POST['email'] = addslashes($_POST['email']);
                    }

                    $check = mysql_query("SELECT * FROM users WHERE Username = '".$_POST['Username']."'")or die(mysql_error());
                    // $sql = SELECT * FROM  users WHERE (Username like $_REQUEST['Username']) AND (pass = md5($_REQUEST['pass'])
                     //    $result = mysql_query ($sql);  

                    //gibt einen Fehler aus, wenn es den Benutzer nicht gibt
                    $check2 = mysql_num_rows($check);
                    if ($check2 == 0) 
                    {
                        die('Dieser Benutzer existiert nicht. Bitte versuchen Sie es erneut.');
                    }

                    while($info = mysql_fetch_array( $check ))
                    {
                    $_POST['pass'] = stripslashes($_POST['pass']);
                    $info['password'] = stripslashes($info['password']);
                    $_POST['pass'] = md5($_POST['pass']);
                    }

                    //Gibt einen Fehler aus, wenn das Passwort falsch ist
                    //gives error if the password is wrong
                    if ($_POST['pass'] != $info['password']) 
                    {
                    die('Incorrect password, please try again.');
                    }

                    $check = mysql_query("SELECT * FROM users WHERE Username = '$Username'")or die(mysql_error());
                    while($info = mysql_fetch_array( $check ))
                    {
                        if ($_POST['pass'] != $info['pass'])
                        {
                            die ('Ihr Passwort ist inkorrekt. Bitte versuchen Sie es erneut.');
                        }
                    }
                    echo '<meta http-equiv="refresh" content="0; URL=Impressum.php">';
                }
                else
                {
                        //wenn der Login erfolgreich war, dann fügen wir einen Cookie hinzu
                        $_POST['Username'] = stripslashes($_POST['Username']);
                        $hour = time() + 3600;
                        setcookie(ID_my_site, $_POST['Username'], $hour);
                        setcookie(Key_my_site, $_POST['pass'], $hour);

                        header("Location: Impressum.php"); 
                        //dann leiten Sie ihn zur Accespage
                 }

            ?>

Alles anzeigen

SinnlosS

Das ist mir in der Form zu unleserlich. Rück den Quellcode mal ein und gibt ihn formattiert aus -> [ php ] [ /php ]
Dann schau ich es mir vllt. bei Gelegenheit an.

Hier mal ein kleines Login-Skript, vllt. hilft dir das auch als Anregung schon weiter:

PHP

<?php
session_start();
include("config/dbconnect.php");
if(!isset($_SESSION['admin'])) {
    if(isset($_POST['ok'])) {
        $sql = "SELECT id FROM user WHERE login=? AND passwort=? LIMIT 1";
        $res = $db->prepare($sql);
        $res->bind_param("ss",$_POST['login'],$_POST['passwort']);
        $res->execute();
        $res->bind_result($id);
        if($res->fetch()) {
            $_SESSION['admin'] = true;
            $_SESSION['time']  = time();
        }
        $host  = $_SERVER['HTTP_HOST'];
        $uri   = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
        $extra = "admin.php";
        header("Location: http://$host$uri/$extra");
        exit;
    } else { ?>
        <form action='' method='post'>
        <b>Login:</b><br>
        <input type='text' name='login' style='width:200px;'><br>
        <b>Passwort:</b><br>
        <input type='password' name='passwort' style='width:200px;'><br>
        <input type='submit' name='ok' value='Einloggen'>
        </form> <?php
    }
}
else {
    if(time() - $_SESSION['time'] > 1800) {
        session_destroy();
        $host  = $_SERVER['HTTP_HOST'];
        $uri   = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
        $extra = "admin.php";
        header("Location: http://$host$uri/$extra");
        exit;
    }
    else {
        $_SESSION['time'] = time();
    }
    // Interner Bereich
}

Alles anzeigen

Sucki

Hab die Einrückung natürlich normal.^^ Aber ich wusste das mit [ php ] [ /php ] nicht.

SinnlosS

Ok, das ist schonmal lesbarer.

An welcher Stelle hakt es denn genau, also ab wo ganz genau macht es nicht mehr das was du gern hättest?

Sucki

Also es ist so, wenn ich in das Feld "Passwort" eine Eingabe mache (vorrausgesetzt der "Name" ist richtig geschrieben), dann gibt er mir immer den Fehler aus, dass das Passwort falsch ist. Auch wenn ich es richtig eingebe. Und er soll da halt das Passwort aus der Datenbank (zum dazugehörigen User) nehmen und vergleichen. Und nur wenns falsch ist, die Fehlermeldung ausgeben.

Danke für deine schnellen antworten. Ich versuch mir das schon alles selbst beizubringen, aber das klappt immer nicht so gut. xD (und nicht wundern, ich hab da noch ein paar Leichen im Quelltext gelassen, wo ich rumprobiert habe).

SinnlosS

Ich hab das mal auf die relevanten Teile gekürzt und die ein oder andere Anmerkung zu Änderungen reinkommentiert, so hier sollte es eigentlich laufen:

PHP

<?php
if (isset($_POST['submit'])) {
    // Eingabefelder-Überprüfung mit empty()
    if(empty($_POST['Username']) || empty($_POST['pass']))  {
        die('Sie haben nicht alle Felder ausgefüllt.');
    }
    // Wird $_POST['email'] überhaupt benötigt?
    if (!get_magic_quotes_gpc()) {
        $_POST['email'] = addslashes($_POST['email']);
    }
    // mysql_real_escape_string() verwenden zum Schutz vor SQL-Injection, siehe PHP-Doku
    $username = mysql_real_escape_string($_POST['Username']);
    // Keine SELECT * sondern nur Felder selecten die auch gebraucht werden, s.u.
    // LIMIT 1, es gibt wohl jeden usernamen nur einmal
    $check = mysql_query("SELECT password FROM users WHERE Username='".$username."' LIMIT 1")or die(mysql_error());
    $check2 = mysql_num_rows($check);
    if(!$check2) {
        die('Dieser Benutzer existiert nicht. Bitte versuchen Sie es erneut.');
    }
    // while-Schleife entfernt, da unnötig
    $info = mysql_fetch_array( $check )) {
    $pass = md5($_POST['pass']);
    if ($pass != $info['password']) {
        die('Incorrect password, please try again.');
    }
}
?>

Alles anzeigen

Wurde dir die englische oder die deutsche Fehlermeldung zum PW ausgespuckt? Bei der deutschen ist völlig klar das die kommt, da du in der zweiten Abfrage auf user nach $username sucht, die Variable wird vorher aber gar nicht belegt, also kann auch kein Datensatz gefunden werden. (Wozu eigentlich die zweite Abfrage auf user?)

Anmerkung:
Warum soll ich nicht SELECT * schreiben?
http://www.php-faq.de/q-sql-select.html

Sucki

Also erstmal danke.^^

Dann eine Verständnissfrage:

mysql_real_escape_string bedeutet also, dass es der Variablen immer einen Wert zuweist und der dadurch nicht auf 0 stehen kann?

zu Punkt 2.:
Edit* schon gut. xD

Regards Sucki

SinnlosS

Zitat von Sucki

Also erstmal danke.^^

Dann eine Verständnissfrage:

mysql_real_escape_string bedeutet also, dass es der Variablen immer einen Wert zuweist und der dadurch nicht auf 0 stehen kann?

zu Punkt 2.:
Edit* schon gut. xD

Regards Sucki

mysql_real_escape_string maskiert bestimmte Zeichen in deinem String um SQL-Injection zu verhindern.
Mal ein Beispiel für SQL-Injection:

PHP

<?php
// Datenbankabfrage zur Ueberpruefung der Logindaten
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);


// Wir haben $_POST['password'] nicht geprueft, es koennte also alles darin
// stehen, was der User will. Zum Beispiel:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";


// Das bedeutet, der an MySQL gesendete Query wuerde sein:
echo $query;
?>

Alles anzeigen

Zitat

Die Abfrage, die an MySQL übermittelt wird:

SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''

http://de.php.net/mysql_real_escape_string

thilda

Deswegen kann man ja zb nen md5 vergleich des pwd machen

Sucki

Ich komm damit irgendwie total nicht klar.
Also 1.:
Wenn ich die while Schleife wegnehme, dann wird bei mir das Login nicht mehr angezeigt (d.h. die komplette Form):

PHP

while($info = mysql_fetch_array( $check ))
          {
            $_POST['pass'] = stripslashes($_POST['pass']);
            $info['password'] = stripslashes($info['password']);
            $_POST['pass'] = md5($_POST['pass']);
          }

2.
So den einen Fehler behoben.... Jetzt hab ich die scheiße, dass er die Passwortabfrage wieder nicht macht -_- er gibt nix mehr aus, egal was ich für ein Passwort eingebe.

Bzw. hab ich es momentan so:

PHP

//kontrolliert ob die Felder ausgefüllt sind
                    if(empty($_POST['Username']) || empty($_POST['pass']))
                    {
                die('Sie haben nicht alle Felder ausgefüllt.');
                }
                    $check = mysql_query("SELECT pass FROM users WHERE Username = '".$_POST['Username']."'")or die(mysql_error());
                    //gibt einen Fehler aus, wenn es den Benutzer nicht gibt
                    $check2 = mysql_num_rows($check);
                    if ($check2 == 0) 
                    {
                        die('Dieser Benutzer existiert nicht. Bitte versuchen Sie es erneut.');
                    }

                    while($info = mysql_fetch_array( $check ))
          {
            $_POST['pass'] = stripslashes($_POST['pass']);
            $info['password'] = stripslashes($info['password']);
            $_POST['pass'] = md5($_POST['pass']);
          }



                    
                    //Gibt einen Fehler aus, wenn das Passwort falsch ist
                    if ($pass != $info['password'])
                    {
                die('Incorrect password, please try again.');
                }

Alles anzeigen

SinnlosS hast du vll MSN?

SinnlosS

Zitat von thilda

Deswegen kann man ja zb nen md5 vergleich des pwd machen

Ja für genau das eine Beispiel wenn die Passwörter auch (md5-)verschlüsselt in der db liegen.
Generell ist es aber sinnvoll mysql_real_escape_string zu kennen, zum Schutz vor SQL-Injection. Das kann man für alle Felder verwenden, nicht nur für verschlüsselt gespeicherte PWs.

Sucki

Simple Frage:

Ist in $info['passwort'] überhaupt das Passwort aus der Datenbank drinne?... Weil das muss es ja sein, damit der Passwortabgleich klappt.

bzw. ist das passwort in der Datenbank nicht md5 verschlüsselt, kann es daran liegen?

SinnlosS

Naja das musst du wohl am besten wissen. In deinem letzten Beispiel selectest du ein Feld `pass`, vergleichst aber im $info-Array mit $info['password']. Der Key kann dann ja nicht belegt sein.
Wie heißt denn die Spalte mit den Passwörtern in deiner Tabelle? `password` oder `pass`?

Bandit

Wetten, dass man das hiermit findet:

Richtig debuggen
1. Man bemerkt, dass ein Skript nicht das tut, was es soll.
2. Man schreibt an den Anfang des Scriptes die Zeile: error_reporting(E_ALL); und ini_set("display_errors", true);
3. Man versucht, die Stelle die daran Schuld sein kann, schonmal einzugrenzen. Falls dies nicht geht, wird zunächst das komplette Skript als fehlerhaft angesehen.
4. An markanten Stellen im Skript lässt man sich wichtige Variableninhalte ausgeben und ggf. auch in bedingten Anweisungen eine kurze Ausgabe machen, um zu überprüfen, welche Bedingung ausgeführt wurde (oder auch nicht).
5. Schritt 3 wird so lange wiederholt, bis Unstimmigkeiten im Skript auffallen
6. Damit hat man das Problem (Unstimmigkeit) gefunden und kann versuchen diese zu beheben. Hierzu dienen dann die PHP-Dokumentation und andere Quellen als Ratgeber.
7. Lässt sich das konkrete Problem trotzdem nicht beheben, kann man in Foren um Rat fragen.
8. Das Programm läuft und man kann die Debug-Ausgaben wieder entfernen.

Ich tippe mal, bei hochgedrehtem error_reporting gibt es spätestens bei dem Vergleich eine Notice-Warnung.

Afrael

Zu md5, man sollte nicht einfach "nur" md5-verschlüsseln, sondern einen geeigneten Salt verwenden.

SinnlosS

Zitat von Afrael

Zu md5, man sollte nicht einfach "nur" md5-verschlüsseln, sondern einen geeigneten Salt verwenden.

Ja das ist eine Möglichkeit, wobei das auch schnell "unsicher" wird wenn jemand den Salt rausfindet.
Wenn es wirklich so sensible Daten sind, dass einem md5 nicht mehr sicher genug erscheint, würde ich eher doppelt verschlüsseln.

Tags