Beiträge von The User

Sowas wie iGoogle oder MyYahoo soll das wohl sein. Ziemlich sinnlos find ich, aber okay.

Jo bei Vorstellungs-Sachen ist das schon ok, wenns noch woanders steht. Im Prinzip eine gute Idee, jetzt vllt. ein bisschen spät.^^ Wie sieht es mit eigenen Fragen aus?

PS:
Wer behauptet, Datenschutz ernstzunehmen, darf kein Google Analytics benutzen… Was nutzt die Behauptung am Anfang, dass nur IP und Useragent gespeichert und auch gelöscht werden, wenn sowieso alles an Google geht, und dass die die Daten nicht verknüpfen glaubt ja wohl niemand.

Benutze echo, ob mit oder ohne output-buffering. Das ist nämlich sauber: Das echo ist genau dafür da, die Ausgabe nach irgendwohin zu transportieren, mit Strings ist das Gefummel.

Jo, schönen Abend. Übrigens kannst du bei bplaced eine Domain auch ordentlich aufschalten, ohne iframe und sowas.

Nein, ich habe nichts prinzipiell gegen Android, ich finde Android eine gute Sache (im Gegensatz zu iOS, WP7 oder Chrome OS), und es gibt ja auch die Möglichkeit, Chrome zu modifizieren, dass es nicht alles verschickt, was man eingibt. Was geht es Facebook an, dass ich auf deiner Seite war? Du kannst auch einen einfachen Link zu deiner Facebook-Seite einbinden, das geht auch, dann ist es eine bewusste Entscheidung, ob man das Facebook mitteilen möchte.

Äh, naja, das klingt etwas komisch, dass man das Passwort nicht behalten kann… Solang es über HTTPS geht und nur Hashes in der DB liegen, ist es nicht sicherer oder unsicherer…
Das ist eben anfälliger als ein normaler Session-Keks, weil du nicht die IP überprüfen kannst, und fast so lange hält wie ein normales Passwort, deshalb sollte in dem Fall die Verbindung immer verschlüsselt sein. Wenn du kein HTTPS hast, ist das nicht so toll, aber dann wäre es auch besser, wenn eben nur einmal pro Session das Passwort übertragen wird, als immer wieder dieser Keks.

Du solltest den ungehashten Zufallswert im Cookie speichern und den gehashten in der DB…

Welcher Wert landet im Cookie? Der Hash vom Passwort? Wenn du das machst, macht das Hashing ja überhaupt keinen Sinn mehr…

Die Sache ist: Facebook bekommt es mit, wenn ich auf deine Seite gehe (und es nicht blockieren würde, aber das klappt auch nicht immer) – egal, ob ich registriert bin oder nicht. Wenn man bei Facebook etwas schreibt, weiß man ja, dass die das mitbekommen, da geht man das bewusst ein, wenn ich man auf eine x-beliebige Seite geht, erwartet man das nicht. Auch erwartet man nicht, dass noch JS von zig anderen (mir teilweise unbekannten) Firmen geladen wird. Ebenso wenig, wie man von einem Webbrowser – den ihr empfehlt – erwartet, alles an Google zu senden. Ich halte das für alles andere als übertrieben.

Eine ordentliche Domain gibt es für 4€ im Jahr, so viel könnte einem sein Hobby ja vllt. doch wert sein, das geht auch ohne nervige Layer…

Ja, eine ordentliche Domain würde es seriöser machen. Und ja, der Banner macht es unseriös, abgesehen davon auch die Sprache mit den zig Ausrufezeichen und seltsamen Formulierungen (Betriebssystem und Betriebssoftware). Zudem lässt du gleich Google und Facebook die Besucher deiner Website ausspähen, indem du irgendwelches externes JS und diese Like-Buttons einbindest, nicht so nett, vor allem, wo es die meisten Besucher nicht bemerken werden. Welche Kosten hast du egtl.? .tk-Domain und bplaced-Webspace… Außerdem geht Werbung auch dezenter. Das Design ist gut.

PS:
.tk ist in Ordnung für Tokelauaner und Tiefkühl-Kost-Hersteller, aber sonst…

Was macht cookie_hash? Das wird in einem Cookie gespeichert? Das macht keinen Sinn, und wenn er seine Cookies löscht, kommt er nicht mehr rein…

Und dann schleunigst die Datei löschen.
Wenn du Accounts erstellen können willst, musst du schon beim Einfügen das Feld auf den Hashwert setzen, also sowas wie "INSERT INTO `users` (`name`, `pass`) VALUES ( '" . mysql_real_escape_string($neuername) . "', '". mysql_real_escape_string(myhash($neuespasswort)) . "')"

Ich war das. Zwecks Abbau von Redundanz in Forum-Hilfe. Seine Frage hatte nichts mit Debuggen zu tun, er hatte das einfach mit der Einwegfunktion noch nicht verstanden, und deshalb auch nicht, was der Code macht, zu Debuggen gab es da nichts. Und als ich da gerade geantwortet hatte, stand da diese Pauschalantwort einer Debugging-Anleitung, drum habe ich sie entfernt, da sie weder hilfreich noch angemessen oder nett war. Jetzt weißt du, was daran falsch war.

Du meinst die Frage, welchen du nehmen sollst? Ich habe nur den von Carphunter genommen und das mit dem myhash eingefügt, also nimm den. Du sagst, da werde „falsches Passwort“ angezeigt, da solltest du eben mal prüfen, ob auch das richtige in der Datenbank steht (nämlich eben nicht das Passwort, sondern myhash(passwort)). Sonst weiß ich nichts von einer Frage.

@Carphunter
Cookie_hash? Was? Wenn du nur die Hashfunktion änderst funktiornieren ja die alten Logins nicht mehr, darum gings mir.

@Now
Hast du dir das bei Wikipedia mal angeschaut? Das Prinzip sollte dir eben erst klar sein, bevor du das machst. Also dein Passwort darf nicht in der Datenbank stehen, du machst myhash(passwort) in PHP und das Ergebnis davon schreibst du in die Datenbank ins Passwortfeld. Klar?

@Carphunter
Wenn du es ändern willst, würde ich so vorgehen:
Ein zusätzliches MySQL-Feld für den neuen Hash anlegen und leer lassen für die Benutzer. Weiterhin mit md5 authentifizieren lassen, wenn sich einer einloggt, das Passwort mit dem md5-Hash abgleichen, wenn das korrekt ist, den md5-Hash löschen und den neuen mit dem Passwort berechnen und den speichern. Wenn sich manche nach einer Weile immer noch nicht angemeldet haben, kannst du ja das Passwort entfernen und sie müssen dann die Passwort-vergessen-Funktion nutzen.

@Now
Wie ist denn das Passwort momentan in der Datenbank abgelegt? Du musst dann auch myhash(passwort) in der Datenbank speichern (bei der Account-Erstellung/wenn das Passwort gesetzt wird, nicht das Passwort speichern sondern myhash($_POST['passwort']) (oder wo es auch immer herkommt)).

@Now
Man speichert Passwörter NIE im Klartext. Siehe bitte http://de.wikipedia.org/wiki/Einwegfunktion#Anwendungen. Ich meine damit: Mach soetwas niemals!

@all
md5 ist ziemlich schwach, vor allem, wenn es ungesalzen ist. Also lieber:

<?php
error_reporting(E_ALL);


function myhash($str)
{
    return hash('sha512', 'v2dnou9ud' . hash('whirlpool', $str . 'uoucolsißv21', true)); // Das Gebrabbel durch eigene, zufällige, geheimgehaltene Strings ersetzen
}


define('MYSQL_ADDR', '127.0.0.1');
define('MYSQL_USER', '*******');
define('MYSQL_PASS', '******');
define('MYSQL_DATABASE', '***********');


mysql_connect(MYSQL_ADDR, MYSQL_USER, MYSQL_PASS);
mysql_select_db(MYSQL_DATABASE);




if(!isset($_POST['benutzer']) OR strlen(trim($_POST['benutzer']))<1) {
    echo 'Bitte gib einen Benutzername ein! <a href= "javascript:history.back();">Zur&uuml;ck</a>';
} elseif(!isset($_POST['passwort'])) {
   echo 'Bitte gib dein altes/ dein richtiges Passwort an! <a href= "javascript:history.back();">Zur&uuml;ck</a>';
} else {
   $benutzername = htmlentities($_POST['benutzer'], ENT_QUOTES, 'ISO-8859-1', false);
   $passwort    = mysql_real_escape_string(myhash(trim($_POST['npasswort'])));


  $sql='SELECT 
            id, 
            passwort 
        FROM 
            mitglieder 
        WHERE 
            vorname
                    ="'.addslashes($benutzername).'"';

   $result=mysql_query($sql);
   if(mysql_num_rows($result)==1){
      $row=mysql_fetch_assoc($result);
      stripslashes($row['passwort']);
      if($passwort!=$row['passwort']){
         echo 'Dein Passwort stimmt nicht';
      } else {
        echo 'Stimmt :)';
        }
}
?>

Viele Grüße
The User

O2 ist nicht D2…

Ja, sicherlich. Weiß nicht mehr, was ich damit sagen wollte mit dem Bild.

Edit: Ich meine, gefeiert habe ich auch damals nicht.

PS:
Ich glaube, ich wollte damit nichts sagen, es war mir nur aufgefallen, dass es viele Heilige gibt, habs gefunden:
[Blockierte Grafik: http://eisenholz.bplaced.net/dynbilder/]

Noch was Ulkiges: Die Jubiläen der Rätselstunde liegen immer (fast?) genau ein Jahr auseinander.