login check

[Mad Dog]

hey leute,

bin gerade dabei ein bisschen mit nem login rumzuprobieren.
soweit habe ich eine datenbank mit den loginnamen und dem passwort.
zum einloggen muss ja beides kontrolliert werrden.

reicht es dann wenn ich nach dem namen und dem passwort in der datenbank suche, den namen und das passwort raushole und beides mit den eingegebenen daten vergleiche??
code:

<?php
if ($mysqli_stmt = parent::stmt_init())
    {
      $sql = 'SELECT 
                    Username, Password
                FROM
                    user
                WHERE
                    Username = ?, Password = ?';
      $mysqli_stmt->prepare($sql);
        $mysqli_stmt->bind_param('ss', $Username, md5($Password));
        $mysqli_stmt->execute();
        $mysqli_stmt->bind_result($result1, $result2);
        if ($mysqli_stmt->fetch())
        {
                if (($result1 === $Username) AND ($result2 === md5($Password)))
                {
            $checkit = TRUE;
          }
        }
        else
        {
            $checkit = FALSE;
        }
    
        }
?>

($Username und $Passwort sind die vom benutzer eingegebenen werte)
reicht das oder gibt es da ein grosser sicherheits risiko?

mfg

 

[XraYSoLo]

ja, risiko besteht.
du solltest das passwort per md5() oder einem anderen algorithmus verschlüsseln.

Nils aka XraYSoLo

 

[Mad Dog]

ich habe das pw doch mit md5 verschluesselt

 

[XraYSoLo]

übersehen, sorry.

Nils aka XraYSoLo

 

[Mad Dog]

passiert

hmm wuerde es etwas nuetzen, wenn ich die user namen zusaetzlich noch mit md5 verschluesseln wuerde oder waere das nut "umstaendlich"??

 

[thuemmy]

Da die md5-Verschlüsselung nicht rückgängig gemacht werden kann, bringt das ja wohl nicht wirklich viel. D.h., dass Du nie User anzeigen kannst, da Du den Namen ja nicht entschlüsseln kannst.

Was eventuell ein Sicherheitsrisiko darstellt, das wäre eine SQL-Injection

Gruß thuemmy

 

[Die Zahl]

Was eventuell ein Sicherheitsrisiko darstellt, das wäre eine SQL-Injection

Gruß thuemmy

Naja ist in Zeiten von PDO ja nicht mehr möglich. Mad Dog geht schon den richten Weg. Da er bind_param benutzt, ist eine SQL-Injection ausgeschloßen, da vom Treiber aus die Maskierungen erfolgen.

 

[thuemmy]

Und was erkennen wir daran? Ich hab mich mit PDO noch nicht auseinandergesetzt ;-) Was ich aber wohl nun nachholen werde.

Gruß thuemmy

 

[Mad Dog]

ja sql injection :-)
hab in einem buch von dem problem gelesen und es fuer mein beispiel (hoffentlich) komplett ausgeschlossen.
dann arbeite ich mal weiter
danke schoen

 

[vini-boy]

antwort

ja, risiko besteht.
du solltest das passwort per md5() oder einem anderen algorithmus verschlüsseln.

Nils aka XraYSoLo

ich hätte nicht mit md5() verschlüsselt
da kann dann jeder drauf mache nur ()

mfg
vini-boy:)

 

[Mad Dog]

da kann dann jeder drauf mache nur ()

was soll ich darunter verstehen?
der satz ergibt irgendwie kein sinn (auf jeden fall fuer mich)

 

[Die Zahl]

was soll ich darunter verstehen?
der satz ergibt irgendwie kein sinn (auf jeden fall fuer mich)

Ich verstehe darunter:

$passwort = "("._$POST['pass'].")";

Was allerdings das Gegenteil von sicher ist ;)

 

[Mad Dog]

[COLOR=#000000][COLOR=#0000bb]$passwort [/COLOR][COLOR=#007700]= [/COLOR][COLOR=#dd0000]"("[/COLOR][COLOR=#007700].[/COLOR][COLOR=#0000bb]_$POST[/COLOR][COLOR=#007700][[/COLOR][COLOR=#dd0000]'pass'[/COLOR][COLOR=#007700]].[/COLOR][COLOR=#dd0000]")"[/COLOR][COLOR=#007700];  [/COLOR][/COLOR]

hm ich sehe da keinen sinn dahinter da ich das passwort ja verschluesselt haben will -.-
wieso sollte ich also dsa md5 weglassen?

 

[XraYSoLo]

in der tat, das bringt überhaupt nichts, einfach nur klammern drum zu setzen.

Nils aka XraYSoLo

 

[vini-boy]

antwort

ich habe studiert freunde

 

[XraYSoLo]

ich habe studiert freunde

das ändert nichts an der tatsache, dass dein ansatz einfach nur schrott ist. klammern klammern, mehr nicht, da besteht keine schutzfunktion.
aber bitte, zeig' mir doch mal in einer befehlsreferenz, was das bewirken soll.

Nils aka XraYSoLo

 

[Mad Dog]

ich schließe mich XraYSoLo an.
studieren tut hier nichts zur sache.
einfach klammern drum machen das ist ja keine kunst.
wenn du uns mit deinem studium fachwissen jetzt noch verrätst was das bewirken soll, dann ändere ich meine meinung.

 

[XraYSoLo]

ich schließe mich XraYSoLo an.
studieren tut hier nichts zur sache.

danke.
ich verlange ja lediglich nur eine quelle, wo das steht und bin auch gerne bereit, was neues dazu zu lernen.
bin eben nur ein forstarbeiter mit beruflichem gymiabschluss, is' halt net so hoch...

Nils aka XraYSoLo

 

[Mad Dog]

hihi
ich mach noch abi, also noch weniger ahnng
nur ein mensch der wissen erlangen moechte!

btw war es nicht Die Zahl die ein beispiel gegeben hat?

$passwort = "("._$POST['pass'].")";

von viny-boy habe ich noch nichts dazu gesehen!
ich hoffe er postet noch was.

 

[XraYSoLo]

hihi
ich mach noch abi, also noch weniger ahnng
nur ein mensch der wissen erlangen moechte!

btw war es nicht Die Zahl die ein beispiel gegeben hat?


von viny-boy habe ich noch nichts dazu gesehen!
ich hoffe er postet noch was.

berufliches gymi ist ja bis heute - trotz höherer leistungsanforderungen - dem allgemeinbildendem unterstellt, also bist du auch höher xD.

Nils aka XraYSoLo