Bejelentkező script hiba???

Kalas · 2010. Május. 7. (P), 09.02

Kérlek segítsetek, a kódom így néz ki:

<?php

$username = $_POST[username] ;
$password = $_POST[password] ;

$kapcsolat = mysql_connect ('127.0.0.1', 'animefanblog', 'naruto');
mysql_select_db ('animefanblog');

$parancs = "SELECT * FROM videosmart WHERE username = '$username'";
$valasz = mysql_query($parancs);
$sor = mysql_fetch_array($valasz);

if ($password == $sor[password])
	{
		print "Sikeres bejelentkezés";
	}
else 
	{
		print "Sikertelen bejelentkezés";
	}
mysql_close($kapcsolat);
?>

ezzel mi a baj?? mikor belépek a jó felhasználónév jelszóval akkor aztírja ki, hogy sikertelen bejelentkezés:S segítsetek!

■

HTML, CSS, JavaScript, Ajax

csirip

Itt lehet tesztelni

Kalas · 2010. Május. 7. (P), 09.03

Teszt itt van animefanblog.atw.hu, felvan töltve rá.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Az adatbázisból a felhasználó nevét kéred le, de te meg a jelszót ellenőrzöd. Kérdezd le mind a kettőt és ellenőrizd is őket és használj valami ellenőrzést mert könnyen fellehet törni az oldalad ha ezt így fogod használni.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

A "select *" szerintem

deejayy · 2010. Május. 7. (P), 10.24

A "select *" szerintem mindent lehoz, de lehet elnézem.

A megoldáshoz irasd ki a képernyőre a változók értékeit. Ha a $sor['password'] üres, akkor már tudod, hogy az adatlekérésnél van a hiba. Ha így van, akkor mysqladmin-ból add ki a parancsot és nézd meg mit ad vissza.

Egyébként nekem azt írja, hogy "Sikeres bejelentkezés" :) Bármire :)

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Hoppá, igazad van, lehoz

csaba86 · 2010. Május. 7. (P), 12.17

Hoppá, igazad van, lehoz mindent.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

SQL Injection

Poetro · 2010. Május. 7. (P), 10.51

És jó lenne escapelni is az SQL-nek átadott adatokat, ugyanis jelen formában ha azt adom meg felhasználónévnek, hogy akarmi' OR 1 akkor be fog léptetni :). Egy ugye abból adódik, hogy a lekérdezés ekkor a következő lesz:

SELECT * FROM videosmart WHERE username = 'akarmi' OR 1

Én kb. így csinálnám:

<?php
$kapcsolat = mysql_connect ('127.0.0.1', '...', '...');
mysql_select_db ('animefanblog');

if (!empty($_POST['username']) && !empty($_POST['password'])) {
  $username = $_POST['username'];
  $password = $_POST['password'];
   
  $parancs = sprintf("SELECT * FROM videosmart WHERE username = '%s' AND password = '%s'",
    mysql_real_escape_string($username), mysql_real_escape_string($password));
  $valasz = mysql_query($parancs);
  
  if ($sor = mysql_fetch_assoc($valasz)) {
    print "Sikeres bejelentkezés";
  }
  else {
    print "Sikertelen bejelentkezés";
  }
}

mysql_close($kapcsolat);
?>

Jah, és legközelebb nem add meg az adatbázisod felhasználó nevét, és jelszavát, mivel "senki" se kíváncsi rá ;).

A hozzászóláshoz regisztráció és belépés szükséges
új téma

jelen formában ha azt adom

kuka · 2010. Május. 7. (P), 16.17

jelen formában ha azt adom meg felhasználónévnek, hogy akarmi' OR 1 akkor be fog léptetni :)

Be fog lépni, ha az űrlapba beírt jelszó egyezik a MySQL természetes adatsorrendjében elsőnek szerepelő felhasználó jelszavával. Ez szerintem nem sokat segít egy támadónak.

De egy biztos: mielőbbi javítás szükséges.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Tapasztalatom szerint

solkprog · 2010. Május. 7. (P), 16.26

Tapasztalatom szerint az első rekord az "users"-táblában az esetek 90%-ban az (egyik) admin-é...
Másfelől:


admin' --

így meg tuti az admin felhasználóhoz lép be (nyilván ha admin-nak hívják)

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Igen. Amennyiben a támadó

kuka · 2010. Május. 7. (P), 17.26

Igen. Amennyiben a támadó tudja az illető admin jelszavát. Amiért az adatbázis lekérdezés sérülékeny, azért a jelszó összehasonlítást a PHP script még elvégzi.

A súlyos biztonsági hiba az volna, ha a jelszó összehasonlítást nem a PHP végezné, hanem ugyanaz a sérülékeny SQL.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

elnéztem

solkprog · 2010. Május. 7. (P), 19.53

én erre gondoltam:


$parancs = "SELECT * FROM videosmart WHERE username = '$username' AND pass='$pass'";

Sorry elnéztem. (pontosabban Poetro javított kódjára néztem csak rá)

Kalas: Poetro kódjával mi a bajod?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Átfogalmazom

Poetro · 2010. Május. 7. (P), 20.13

Akkor elegendő, ha valakinek eltalálod a jelszavát, és akkor be tudsz lépni valaki nevében.
Ekkor ugye: ' OR password='1234
De itt most nem is ez a lényeg, hanem hogy lyukak vannak, amiket mindenképpen foltozni kell.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

a picsaxDD

Kalas · 2010. Május. 7. (P), 13.48

Ja, bocsi:DDDD istenem mekkora barom vagyokXD
ez már fáj

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Nekünk meg a stílusod. Ez itt

deejayy · 2010. Május. 7. (P), 16.27

Nekünk meg a stílusod. Ez itt egy szakmai fórum, kérlek ne úgy kezeld, mintha MSN-en beszélnél a haveroddal.

Többiek nevében is köszönöm.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Konkrét kód

Kalas · 2010. Május. 7. (P), 19.24

Akkor valaki írja le legyetek szívesek a konkrét kódot amit be kell illesztenem az oldalamra.
Köszönöm szíves kedvességeteket.

Így jó lesz?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

H	K	Sze	Cs	P	Szo	V
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	1	2	3	4	5

Weblabor

Keresés