+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.2.x und älter (https://www.mybb.de/forum/forum-27.html)
+---- Forum: Sonstiges (https://www.mybb.de/forum/forum-29.html)
+---- Thema: [Gelöst]User nutzen (/thread-2040.html)
[Gelöst]User nutzen - Jan - 13.05.2006
Hallo,
ich würde gerne die User vom MyBB nutzen.
Also abfragen ob das Passwort stimmt. Leider klappt es mit
PHP-Code:
$sql = "SELECT
uid,
email
FROM
mybb_users
WHERE
username = '" . trim($_POST['username']) . "'
AND
password = '" . md5(trim($_POST['passwort'])) . "'";
Oder kann man NUR die Nutzerverwaltung des MyBB nutzen? Also Cookie und die Session?
RE: User nutzen - Garlant - 13.05.2006
Hallo Jan,
Die Passwörter sind im MD5 Format verschlüsselt (wenn ich mich jetzt nicht täusche). Wenn du das Passwort abfragen möchtest, muss also auch ein MD5-hash erzeugt werden, um das Passwort überprüfen zu können.
Ich hoffe doch, das reicht als Gedankenanstoß.
Mfg Garlant
RE: User nutzen - Michael - 13.05.2006
Das stimmt nicht so ganz. Das MyBB verwendet einen sogenannten Salt, einen Zufallscode, der für höhere Sicherheit sorgt. Zudem wird das Passwort doppelt verschlüsselt. Das Passwort wird in folgender Form in der Datenbank gespeichert:
PHP-Code:
md5(md5("passwort").md5("salt"))
Schau mal in die Datei inc/functions_user.php, dort findest du die Funktion validate_password_from_username. Diese wird beim Login aufgerufen und macht genau das was du vorhast.
PS: Dein oben genannter Code erlaubt SQL-Injektion. Richtig wäre:
PHP-Code:
username = addslashes(trim($_POST['username']));
RE: User nutzen - Jan - 14.05.2006
Jan schrieb:Oder kann man NUR die Nutzerverwaltung des MyBB nutzen? Also Cookie und die Session?Steht immer noch aus ......
Also muss ich salt erst abfragen mit dem username und dann mittels
PHP-Code:
$sql = "SELECT
uid,
email
FROM
mybb_users
WHERE
username = '" . trim($_POST['username']) . "'
AND
password = '" . md5(md5($_POST['passwort']).md5("salt")) . "'";
RE: User nutzen - Garlant - 14.05.2006
Hallo Jan,
Nein, das ist immernoch nicht vollkommen richtig, bzw. eine riesige Sicherheitslücke!
Michael schrieb:PS: Dein oben genannter Code erlaubt SQL-Injektion. Richtig wäre:
PHP-Code:username = addslashes(trim($_POST['username']));
Es sollte so aussehen:
PHP-Code:
$sql = "SELECT uid, email FROM mybb_users WHERE username = '".addslashes(trim($_POST['username'])). "' AND password = '".md5(md5($_POST['passwort']).md5("salt"))."'";
RE: User nutzen - Jan - 14.05.2006
Jan schrieb:Jan schrieb:Oder kann man NUR die Nutzerverwaltung des MyBB nutzen? Also Cookie und die Session?Steht immer noch aus ......
Und wie komme ich an salt ?
// ###########################
PHP-Code:
$PHP-Anfänger = if($user="Jan")
{ $wissen = 'Wenig';
echo 'Ich habe einen Wissensstand von '.$wissen.''; }
else { echo 'PHP Profi';}
RE: User nutzen - Garlant - 14.05.2006
Dies ist ein Feld in der usertabelle.
Bitte schaue dir dazu diese Funktion in der functions_user.php an:
PHP-Code:
function update_password($uid, $password, $salt="")
Sollten dennoch Verständnisprobleme aufkommen, bitte wieder melden.
Mfg Garlant
RE: User nutzen - Jan - 14.05.2006
Okay, ich werde es heut mal so probieren.
Aber eine Frage noch, wie kann man den Login auf einer eigenen Seite nutzen? Also das Formular so maachen, das man dann wieder auf der eigenen Seite ist ?
Oder ist das Automatisch so?
RE: User nutzen - Garlant - 14.05.2006
Ich denke, da sollte dir dieses Thema ein wenig weiterhelfen können:
https://www.mybb.de/forum/showthread.php?tid=803&pid=4073#pid4073
Mfg Garlant