Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
13.05.2006, 19:01
(Dieser Beitrag wurde zuletzt bearbeitet: 11.09.2007, 17:28 von Jan.)
Hallo,
ich würde gerne die User vom MyBB nutzen.
Also abfragen ob das Passwort stimmt. Leider klappt es mit
PHP-Code:
$sql = "SELECT
uid,
email
FROM
mybb_users
WHERE
username = '" . trim($_POST['username']) . "'
AND
password = '" . md5(trim($_POST['passwort'])) . "'";
dem hier nicht. Was stimmt noch nicht?
Oder kann man NUR die Nutzerverwaltung des MyBB nutzen? Also Cookie und die Session?
Beiträge: 1.626
Themen: 41
Registriert seit: 24.01.2006
Hallo Jan,
Die Passwörter sind im MD5 Format verschlüsselt (wenn ich mich jetzt nicht täusche). Wenn du das Passwort abfragen möchtest, muss also auch ein MD5-hash erzeugt werden, um das Passwort überprüfen zu können.
Ich hoffe doch, das reicht als Gedankenanstoß.
Mfg Garlant
Ich gebe keinen Support per Messenger oder PN!
Beiträge: 18.383
Themen: 257
Registriert seit: 09.02.2005
13.05.2006, 21:40
(Dieser Beitrag wurde zuletzt bearbeitet: 13.05.2006, 21:41 von Michael.)
Das stimmt nicht so ganz. Das MyBB verwendet einen sogenannten Salt, einen Zufallscode, der für höhere Sicherheit sorgt. Zudem wird das Passwort doppelt verschlüsselt. Das Passwort wird in folgender Form in der Datenbank gespeichert:
PHP-Code:
md5(md5("passwort").md5("salt"))
Schau mal in die Datei inc/functions_user.php, dort findest du die Funktion validate_password_from_username. Diese wird beim Login aufgerufen und macht genau das was du vorhast.
PS: Dein oben genannter Code erlaubt SQL-Injektion. Richtig wäre:
PHP-Code:
username = addslashes(trim($_POST['username']));
Gruß,
Michael
Support erfolgt NUR im Forum!
Bitte gelöste Themen als "erledigt" markieren.
Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht.
Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
Jan schrieb:Oder kann man NUR die Nutzerverwaltung des MyBB nutzen? Also Cookie und die Session?
Steht immer noch aus ......
Also muss ich salt erst abfragen mit dem username und dann mittels
PHP-Code:
$sql = "SELECT
uid,
email
FROM
mybb_users
WHERE
username = '" . trim($_POST['username']) . "'
AND
password = '" . md5(md5($_POST['passwort']).md5("salt")) . "'";
Einloggen?
Beiträge: 1.626
Themen: 41
Registriert seit: 24.01.2006
14.05.2006, 10:08
(Dieser Beitrag wurde zuletzt bearbeitet: 14.05.2006, 10:09 von Garlant.)
Hallo Jan,
Nein, das ist immernoch nicht vollkommen richtig, bzw. eine riesige Sicherheitslücke!
Michael schrieb:PS: Dein oben genannter Code erlaubt SQL-Injektion. Richtig wäre:
PHP-Code:
username = addslashes(trim($_POST['username']));
Es sollte so aussehen:
PHP-Code:
$sql = "SELECT uid, email FROM mybb_users WHERE username = '".addslashes(trim($_POST['username'])). "' AND password = '".md5(md5($_POST['passwort']).md5("salt"))."'";
Ich gebe keinen Support per Messenger oder PN!
Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
Jan schrieb:Jan schrieb:Oder kann man NUR die Nutzerverwaltung des MyBB nutzen? Also Cookie und die Session?
Steht immer noch aus ......
Und wie komme ich an salt ?
// ###########################
PHP-Code:
$PHP-Anfänger = if($user="Jan")
{ $wissen = 'Wenig';
echo 'Ich habe einen Wissensstand von '.$wissen.''; }
else { echo 'PHP Profi';}
Beiträge: 1.626
Themen: 41
Registriert seit: 24.01.2006
Dies ist ein Feld in der usertabelle.
Bitte schaue dir dazu diese Funktion in der
functions_user.php an:
PHP-Code:
function update_password($uid, $password, $salt="")
Der Code sollte dir die Funktionsweise erklären.
Sollten dennoch Verständnisprobleme aufkommen, bitte wieder melden.
Mfg Garlant
Ich gebe keinen Support per Messenger oder PN!
Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
Okay, ich werde es heut mal so probieren.
Aber eine Frage noch, wie kann man den Login auf einer eigenen Seite nutzen? Also das Formular so maachen, das man dann wieder auf der eigenen Seite ist ?
Oder ist das Automatisch so?
Beiträge: 1.626
Themen: 41
Registriert seit: 24.01.2006
Ich denke, da sollte dir dieses Thema ein wenig weiterhelfen können:
https://www.mybb.de/forum/showthread.php...73#pid4073
Mfg Garlant
Ich gebe keinen Support per Messenger oder PN!