[PHP] Loginscript Problem Quakenet

Redcoke

Hallo liebe Community,

ich habe das Quakenet Registrations Script nachgebaut. Dummerweiße sehe ich keinen Inhalt, also eine leere Php Webseite, obwohl eigentlich die register.tbl angezeigt werden müsste....
Habe ab Punkt 5 ( Login ) aufgehört, da schließlich erstmal ein Account registriert werden muss, und dies ja schließlich zuerst funktionieren sollte!
Hab den Sourcecode mal angehängt!
Das Tutorial

Zitat

http://tut.php-quake.net/de/login.html

Web.rar

Der Scriptordner,
ich hoffe das einer von euch mir sagen kann, was ich falsch gemacht habe.

Bandit

Zitat von Redcoke

Hab den Sourcecode mal angehängt!

Ich für meinen Teil werde nicht erst eine Datei downloaden, entpacken und in den darin enthaltenen Dateien nach einem Fehler suchen.

Redcoke

Oh okay Sry, dann poste ich hier mal alle Dateien, welche von Bedeutung sein sollten :

Index.php

PHP

<?php


$dateien = array();
$dateien['index'] = 'index.php';
$dateien['login'] = 'login.php';
$dateien['logout'] = 'logout.php';
$dateien['register'] = 'register.php';
$dateien['profile'] = 'profile.php';


error_reporting(E_ALL);
ini_set('display_errors', 1);


include 'constants.php';
include 'functions.php';


$db = @new MySQLi('localhost', 'root', '' , 'database');
$ret = 1; // speichert den rückgabewert von include, standardwert 1
if (mysqli_connect_errno()) {
    $ret = 'Konnte keine Verbindung zu Datenbank aufbauen, MySQL meldete: '.mysqli_connect_error();
} else {

    include 'register.tpl';
    // Laden der Include-Datei
    // [...]
}
// Laden des HTML-Kopfs
// [...]
?>

Alles anzeigen

register.php

PHP

<?php
$ret = array();
$ret['filename'] = 'register.tpl';
$ret['data'] = array();
if ('POST' == $_SERVER['REQUEST_METHOD']) {
    if (!isset($_POST['Username'], $_POST['Password'], $_POST['Email'],
               $_POST['Antwort'], $_POST['formaction'])) {
        return INVALID_FORM;
    }
    if (!is_array($_POST['Password']) OR count($_POST['Password']) != 2) {
        return INVALID_FORM;
    }
    if ($_POST['Password'][0] != $_POST['Password'][1]) {
        return 'Bitte geben sie das gleiche Password ein.';
    }
    if (($Username = trim($_POST['Username'])) == '' OR
            ($Password = trim($_POST['Password'][0])) == '' OR
            ($Email = trim($_POST['Email'])) == '' OR
            ($Antwort = trim($_POST['Antwort'])) == '') {
        return EMPTY_FORM;
    }
    if ('' != $Antwort) { // entsprechend anpassen
        return 'Bitte geben sie die richtige Antwort an.';
    }
    if (!preg_match('~\A\S{3,30}\z~', $Username)) {
        return 'Der Benutzername darf nur aus 3 bis 30 Zeichen bestehen und '.
               'keine Leerzeichen enthalten.';
    }
    $sql = 'SELECT
                ID
            FROM
                User
            WHERE
                Username = ?
            LIMIT
                1';
    $stmt = $db->prepare($sql);
    if (!$stmt) {
        return $db->error;
    }
    $stmt->bind_param('s', $Username);
    $stmt->execute();
    $stmt->store_result();
    if ($stmt->num_rows) {
        return 'Der Username wird bereits verwendet.';
    }
    $stmt->close();

    $sql = 'INSERT INTO
                User(Username, Email)
            VALUES
                (?, ?)';
    $stmt = $db->prepare($sql);
    if (!$stmt) {
        return $db->error;
    }
    $stmt->bind_param('ss', $Username, $Email);
    if (!$stmt->execute()) {
        return $stmt->error;
    }
    $UserID = $stmt->insert_id;
    $sql = 'UPDATE
                User
            SET
                Password = ?
            WHERE
                ID = ?';
    $stmt = $db->prepare($sql);
    if (!$stmt) {
        return $db->error;
    }
    $Hash = md5(md5($UserID).$Password);
    $stmt->bind_param('si', $Hash, $UserID);
    if (!$stmt->execute()) {
        return $stmt->error;
    }
     return showInfo('Der Benutzer wurde hinzugefügt. Sie können sich nun anmelden.');


}




?>

Alles anzeigen

register.tpl

HTML

<form action="index.php?section=register" method="post">
    <fieldset>
        <legend>Registieren</legend>
        <label>Username: <input type="text" name="Username" /></label>
        <label>Password: <input type="password" name="Password[]" /></label>
        <label>Bestätigung: <input type="password" name="Password[]" /></label>
        <label>Email: <input type="text" name="Email" /></label>
        <label>{FRAGE}: <input type="text" name="Antwort" /></label>
        <input type="submit" name="formaction" value="Registieren" />
    </fieldset>
</form>

Alles anzeigen

Das Problem ist das ich in der Datenbank keinen Usereintrag finde?

Bandit

Und an welcher Stelle wird die register.tpl eingebunden?

splasch

Soweit ich weiß sind die Tutorials dort fortlaufen auf einander aufbgebaut. Daher wirst du immer nur die neuen Teile finden die anderen musst du aus den vorgehenden Tutorials entnehmen. Auserdem sind diese Tutorials dort auch schon veraltet und nutzen noch die alten Php Befehle.

Ich hab das mal vor Jahren ergänzt sie den Anhang hier das sollte vollständig sein.

Siehste auch gleich an der Gesamt größe deines 2.5kb diese ca 7.9 kb also 3 mal so groß.
(Weil bei dir eben alle Teile des vorgehenden Tutorials fehlen.)

Mfg Splasch

Ps:
Das kommt davon wenn man nur Downloadet und es verwenden will ohne das Tutorial durchgearbeitet zu haben!

Redcoke

Zitat von splasch

Soweit ich weiß sind die Tutorials dort fortlaufen auf einander aufbgebaut. Daher wirst du immer nur die neuen Teile finden die anderen musst du aus den vorgehenden Tutorials entnehmen. Auserdem sind diese Tutorials dort auch schon veraltet und nutzen noch die alten Php Befehle.

Ich hab das mal vor Jahren ergänzt sie den Anhang hier das sollte vollständig sein.

Siehste auch gleich an der Gesamt größe deines 2.5kb diese ca 7.9 kb also 3 mal so groß.
(Weil bei dir eben alle Teile des vorgehenden Tutorials fehlen.)

Mfg Splasch

Ps:
Das kommt davon wenn man nur Downloadet und es verwenden will ohne das Tutorial durchgearbeitet zu haben!

Hey, erstmal vielen Dank. Werde mir das heute mal anschauen und vergleichen. Die Register.tbl wird jetzt angezeigt, jedoch anscheiend nichts in die DB eingetragen...

lg Roteisen! Ich melde mich nochmal!

splasch

Du musst den dabei liegenden Sql Dump einspielen und auch die Zugangsdaten anpassen.

Mfg Splasch

Redcoke

Hallo,
danke für den Tipp Habe ich schon gemacht. Allerdings bin ich von deinem Satz

Zitat

Auserdem sind diese Tutorials dort auch schon veraltet und nutzen noch die alten Php Befehle.

etwas interessiert geworden.
Vielleicht könntest du mir deine Tipps dazu geben:

Ich lerne wie du siehst gerade Php - HTML & CSS behersche ich - Java nur das aller Wichtigste. ( ist ja eigentlich nicht so wichtig ...!)
Wollte direkt mit einem größeren Projekt anfangen, und mir Stück für Stück die Kenntnisse dadurch aneignen.

Nun bin ich aber ins Grübeln gekommen.

Wie würde für ein Community Projekt ein Sicherer Loginbereich aussehen? Ist MD5 wirklich so eine "sichere" Methode ( bin der Meinung gegenteiliges mal gelesen zu haben )
Und zum Quote oben, habe mal nach Tutorials gesucht und das beste&übersichtlichste war das von Quake net, die Restlichen waren weniger "sicher"

Vielen Dank für deine netten Bemühungen!

splasch

Zitat von Redcoke

Hallo,
Nun bin ich aber ins Grübeln gekommen.

Wie würde für ein Community Projekt ein Sicherer Loginbereich aussehen? Ist MD5 wirklich so eine "sichere" Methode ( bin der Meinung gegenteiliges mal gelesen zu haben )
Und zum Quote oben, habe mal nach Tutorials gesucht und das beste&übersichtlichste war das von Quake net, die Restlichen waren weniger "sicher"

Vielen Dank für deine netten Bemühungen!

Md5 ist schon lang veraltet und sollte eigentlich nicht mehr verwendet werden viele tun aber trozdem noch. Besser du verwendest sha256 plus einen Salt.
Weiters reicht es nicht nur einen Sicheren Login zu haben wenn das Script überall sonst unsicher ist. Wenn dann muss alles Sicher sein das gesamt packet. Den warum mit dem Login herumschlagen wenn man direkt rein kann oder andere schwachstellen ausnutzen kann.

Tutorials sind im allgemeinen alle nicht sicher sie sollen dir nur zeigen wie man was in php umsetzen kann. Zum Thema Sicherheit beschäftigen sich ganze Webseiten aber die setzen auch voraus das man die Programmiersprache beherscht.

Das Projekt ist ohne Kenntnisse bzw auf deinen Stand nicht wirklich realisierbar da kommt nur Kaos raus.

Mfg Splasch

Grevas

Auch wenn es eigtl. nicht darum geht...

Was soll denn bitte sha256 für ein Vorteil bringen? Die Hash-Methode spielt keine Rolle beim Bruteforcen von passwörtern - das salten ist wichtig, damit keine Rainbow-Tables greifen. Damit hat es sich.
Imo ist der einzige Vorteil von sha256, dass es schwieriger wird kollisionen zu erzeugen - was bei einem Webservice 'nicht möglich' ist.

manuelom0

INFO
Konnte keine Verbindung zu Datenbank aufbauen, MySQL meldete: Access denied for user 'ben'@'localhost' (using password: YES)

splasch

Zitat von manuelom0

INFO
Konnte keine Verbindung zu Datenbank aufbauen, MySQL meldete: Access denied for user 'ben'@'localhost' (using password: YES)

Dumheit tut schon weh oder?

Die Zugangsdaten zu deiner Datenbank musst du selbst eintragen. Nur Downloaden und ausfürhen ist zu wenig.
Auch nicht vergessen die Tabellen anzulegen.

Mfg Splasch

[PHP] Loginscript Problem Quakenet

Tags

Benutzer online in diesem Thema