php - Log ind - checke om navnet findes i db'en... - Udvikleren.dk

Tags: php

Bruger #5601 @ 08.05.04 23:36

Hejsa...

Ville høre om nogen kunne hjælpe med dette lille problem...

Har fundet log ind koden på denne side på http://www.udvikleren.dk/article.php?aid=59&techid=6 og har arbejdet lidt med den...

Det viser sig at der findes en mindre fejl i koden... Den checker aldrig om brugernavnet overhovedet findes i db'en, dvs, man kan logge ind ved KUN at udfylde brugernavn...

Her har i koden til login-ok.php:

Kode

<?
mysql_connect("localhost", "**", "**"); mysql_select_db("**");
$result = mysql_query("select PASSWORD from users where brugernavn = '$brugernavn'")
 or die (mysql_error());
$row = mysql_fetch_array($result);
if($row[password] == $HTTP_POST_VARS[password]){
echo 'Korrekt password';
?>

<html>
<head>
<title>Login-ok.php</title>
</head>
<body>

<font color="#000000">velkommen ind!!!</font>



</body>
</html>

<?
}
else{
echo 'forkert password';
exit
?>
<?
}

?>

Er der nogen der kan tilføje sådan at koden også checker om brugernavnet overhovedet findes i databasen...

Desuden har jeg prøvet at oprette en bruger manuelt (ved at tilføje en række i min db), da jeg ikke liiige kunne få opret-ok.php til at virke... Tror måske der findes en fejl i koden...

Men det korte af det lange er, at jeg ikke kan logge ind... login-ok.php brokker sig over at jeg bruger forkert password når jeg prøver at logge ind....

Bruger ellers koderne nøjagtigt som beskrevet på tidligere skrevet link...

Håber der er nogen der kan hjælpe mig...

5 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #4838 @ 09.05.04 00:36

192

Prøv:

Kode

<?php
require("config.php");
$login = &$HTTP_POST_VARS['login'];

if(empty($login)) {
	echo 'Denne side kræver login adgang'; }
	else {

$brugernavn = &$HTTP_POST_VARS['brugernavn'];
$password = &$HTTP_POST_VARS['password'];


if(empty($brugernavn) OR empty($password)) {
	echo 'Et af felterne er tomme'; }	
	else {

mysql_connect($mysql_host, $mysql_user, $mysql_pw);
mysql_select_db($mysql_db);

$result = mysql_query("select brugernavn,password from users where brugernavn = '$brugernavn' AND password = '$password'")
 or die (mysql_error());

if(mysql_num_rows($result) == 1) {
  echo 'korrekt password';
}

else {
echo 'forkert password';
}

}
}
?>

/AC

Bruger #4838 @ 08.05.04 23:58

192

Ændre login-ok.php til:

Kode

<?
mysql_connect("localhost", "**", "**"); mysql_select_db("**");
$result = mysql_query("select password from users where brugernavn = '$brugernavn'")
 or die (mysql_error());
$row = mysql_fetch_array($result);
if(($row["password"] == $HTTP_POST_VARS["password"]) && (mysql_num_rows($result) == 1)){
echo 'Korrekt password';
?>

<html>
<head>
<title>Login-ok.php</title>
</head>
<body>

<font color="#000000">velkommen ind!!!</font>



</body>
</html>

<?
}
else{
echo 'forkert password';
exit
?>
<?
}

?>

Så burde den tjekke om brugernavnet overhovedet findes.

/AC

Bruger #5601 @ 09.05.04 00:33

Hmm.. har kigget lidt på et meget lignende script her på siden... Har bare et problem... Scriptet checker ikke om brugernavn og password tilhører SAMME bruger... Dvs man kan oprette to brugere, og så logge ind med bruger 1's brugernavn, men bruger 2's password...

Hvordan checker man at brugernavn og password tilhører samme bruger (evt. samme ID)...

har koden til login-ok her:

Kode

<?php
require("config.php");
$login = &$HTTP_POST_VARS['login'];

if(empty($login)) {
	echo 'Denne side kræver login adgang'; }
	else {

$brugernavn = &$HTTP_POST_VARS['brugernavn'];
$password = &$HTTP_POST_VARS['password'];


if(empty($brugernavn) OR empty($password)) {
	echo 'Et af felterne er tomme'; }	
	else {

mysql_connect($mysql_host, $mysql_user, $mysql_pw);
mysql_select_db($mysql_db);

$result_user = mysql_query("select brugernavn from users where brugernavn = '$brugernavn'")
 or die (mysql_error());

$result_pw = mysql_query("select password from users where password = '$password'")
 or die (mysql_error());
  
$array_user = mysql_fetch_array($result_user);
$array_pw = mysql_fetch_array($result_pw);

if($array_user['brugernavn'] == $brugernavn AND $array_pw['password'] == $password) {
  echo 'korrekt password';
}

else {
echo 'forkert password';
}

}
}
?>

Koden er meget nær den sidste kode jeg postede...

Bruger #5601 @ 09.05.04 00:48

UUuh

Virker jo...

Tusind tak skal du ha

Bruger #2737 @ 10.05.04 21:14

Det bliver sjovt når nogen forsøger at logge ind med noget i retning af:
Bruger: Administrator (eller hvem man nu har lyst til at logge ind som)
Password: ' OR password LIKE '%
--
Thus, I conclude

Log ind - checke om navnet findes i db'en...

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler