Login-Check

AeroXbird

Hallo criminalspoint,
ik ben de laatste tijd bezig met 'n cms'je die samen werkt met een gameserver (MTA) maar nu heb ik een probleem met de check na de login >>

PHP

<?php
ob_start();
include_once('config.php');


// Connect to server and select databse.


// username and password sent from form
if ($_POST['Login']) {
$myusername = $_POST['username'];
$mypassword = $_POST['password'];


// To protect MySQL injection (more detail about MySQL injection)
$myusername = stripslashes($myusername);
$mypassword = stripslashes($mypassword);
$myusername = mysql_real_escape_string($myusername);
$mypassword = mysql_real_escape_string($mypassword);
$mypassword = sha1($mypassword);




$result = mysql_query("SELECT * FROM `players` WHERE login='". $myusername ."' and password='". $mypassword ."'");


// Mysql_num_row is counting table row
$count = mysql_num_rows($result);
// If result matched $myusername and $mypassword, table row must be 1 row
}if($count == 1){
// Register $myusername, $mypassword and redirect to file "login_success.php"
$online = "yes";
session_register("myusername");
session_register("mypassword");
session_register("online");
header("location:login_success.php");
}else {
echo "Wrong Username or Password";
}
ob_end_flush();
?>

Toon Meer

nou is het probleem dat hij wrong username or password output terwijl de informatie gewoon hardstikke goed is.
ik hoop dat jullie me kunnen helpen :}

mvg, AeroXbird :cheer:

Jannick

Waarom doe je eerst stripslashen en real escapen en dan pas encrypten? Lijkt me kut, als je een / of ' of wat dan ook in je wachtwoord hebt...

AeroXbird

dus je bedoelt dat ik die stripslash en real escape eruit moet halen?

Nieuwe reactie samengevoegd met originele reactie op 21.12.09 21:42:51:
kheb die lijnen van de stripslashen en real escapen eruit gehaald en de sha1 lijn laten staan maar nog steeds niks

Jannick

zet eens or die(mysql_error()) achter je mysql_query, kijken of er wat komt. Heb doe anders eens echo $mypassword na je sha1(), en controleer dat met de hash uit de DB

AeroXbird

hmm dit is heel raar, de sha1 code is totaal anders als dat er in de database is opgeslagen maar ik ben 100% zeker dat het de goede pass is

Jannick

Vreemd, denk dan toch echt dat je wachtwoord fout is opgeslagen. Heb je toen je het had opgeslagen ook gebruik gemaakt van addslashes, etc?

AeroXbird

ik HAD een real escape maar die heb ik eruit gehaald en weer getest, en weer niks...
mijn register.php

PHP

<?php




		echo <<<ENDHTML
            <div id="content">
                
                <h2 class="title-01">Register yourself!:</h2>
                
                <div class="in">
ENDHTML;
?>
					<?
// NickName Encoding //
if(isset($_POST['register'])){
$nickname = $_POST['nickname'];
$password = $_POST['password'];
$password2 = $_POST['password2'];
$email = $_POST['email'];


function safeNickname($nickname, $password, $password2, $email) {
$dbres = mysql_query("SELECT login FROM `players`");
 $encoded =  mysql_real_escape_string($nickname);
 $nickname_rows = mysql_num_rows($dbres);
	if ($encoded == true && $nickname_rows < 1){
	passwordEncrypt($encoded, $password, $password2, $email);
 }else{
	echo '<p><font color="red"><sup align=center >error</sup>The nickname u entered is invalid or does already exist.</font></p>';
 }
}
// Password Encoding //
function passwordEncrypt($nickname, $password, $password2, $email) {
$passwordinput = $_POST['password'];
$passwordinput2 = $_POST['password2'];
if ($passwordinput == $passwordinput2) {
$shacode = md5($passwordinputt);
emailCheck($nickname, $shacode, $email);
}else{
echo '<p><font color="red"><sup align=center >error</sup>The password(s) u entered were invalid or did not match!</font></p>';
}
}






// Email Encoding //
function emailCheck($nickname, $password, $email) {
 $encoded2 =  mysql_real_escape_string($email);
 $mailcheck = validEmail($encoded2);
	if ($mailcheck == true){
	finishRegister($nickname, $password, $mailcheck);
	echo 'YAY! register thing works fine here!';
 }else{
    echo '<p><font color="red"><sup align=center >error</sup>The email u entered was invalid!</font></p>';
 }
}


function finishRegister($encoded, $shacode, $mailcheck) {
if ($encoded == true && $shacode == true && $mailcheck == true) {
$query = mysql_query("INSERT INTO `players` VALUES('', '". $encoded ."', '". $shacode ."', NOW(), '', 1, 0, 'images/avatars/default.jpg', '". $mailcheck ."', 0);");
if ($query) {
echo '<p>Congratulations!<br>u have sucessfully registered to the EXF clan website, u can sign up to be clan member now <a href="/">Click to continue</a></p>';
}
}
}
safeNickname($nickname, $password, $password2, $email);


//////////////////////////////////////
}
?>
				
                    <!-- Topstory -->
                    <div class="box">
					<form action="<?=$_SERVER['PHP_SELF']?>" method="POST">
					Nickname:&nbsp;<input type="text" value="" name="nickname"/><br>
					Password:&nbsp;<input type="password" value="" name="password"/><br>
					Password <sup>Confirm</sup> :&nbsp;<input type="password" value="" name="password2"/><br>
					Email:&nbsp;<input type="text" value="" name="email"/>
						<input type="submit" value="submit" name="register"/>
						</form>
                    </div> <!-- /box -->

Toon Meer

Dat met die md5 klopt ik heb die sha1 code weg gehaald ook bij de login!

Stefan.J

Enkele fouten:

- Voor dat je kan werken met sessies moet je vertellen aan PHP dat je dat wilt, met [func]session_start[/func].
- [func]session_register[/func] is verouderd.
- Gooi die ob_start rotzooi eruit. Al dat cachen is nergens voor nodig.

PHP

$dbres = mysql_query("SELECT login FROM `players`");
 $encoded =  mysql_real_escape_string($nickname);
 $nickname_rows = mysql_num_rows($dbres);
    if ($encoded == true && $nickname_rows < 1){
    passwordEncrypt($encoded, $password, $password2, $email);

- Dus alleen als er minder dan één leden op de website bestaan, mag iemand zich aanmelden?
- Je werkt echt heel raar met functies... Niet echt zoals het hoort. Zodra je $_POST of $_GET e.d. gebruikt in je functies ben je al slecht bezig.
- En ik zie toch echt [func]sha1[/func] in het loginscript, en [func]md5[/func] in het aanmeld script. Vervang de versies anders even naar de meest recente (En zet ze allebei in de startpost).

AeroXbird

Ik heb zo'n beetje gedaan wat je zij maar ik heb nou die dbres bij register.php veranderd in dit:

PHP

$dbres = mysql_query("SELECT * FROM `players` WHERE `login`");

maar nou kan ik gewoon weer gezellig met precies dezelfde naam registreren

NielsB

Even verbetering voor je:

PHP

<?
// NickName Encoding //
if(isset($_POST['register'])){
$nickname = $_POST['nickname'];
$password = $_POST['password'];
$password2 = $_POST['password2'];
$email = $_POST['email'];


function safeNickname($nickname, $password, $password2, $email) {
$dbres = mysql_query("SELECT login FROM `players`");
 $encoded =  mysql_real_escape_string($nickname);
 $nickname_rows = mysql_num_rows($dbres);
    if ($encoded == true && $nickname_rows < 1){
    passwordEncrypt($encoded, $password, $password2, $email);
 }else{
    echo '<p><font color="red"><sup align=center >error</sup>The nickname u entered is invalid or does already exist.</font></p>';
 }
}
// Password Encoding //
function passwordEncrypt($nickname, $password, $password2, $email) {
$passwordinput = $_POST['password'];
$passwordinput2 = $_POST['password2'];
if ($passwordinput == $passwordinput2) {
$shacode = sha1($passwordinput);
emailCheck($nickname, $shacode, $email);
}else{
echo '<p><font color="red"><sup align=center >error</sup>The password(s) u entered were invalid or did not match!</font></p>';
}
}






// Email Encoding //
function emailCheck($nickname, $password, $email) {
 $encoded2 =  mysql_real_escape_string($email);
 $mailcheck = validEmail($encoded2);
    if ($mailcheck == true){
    finishRegister($nickname, $password, $mailcheck);
    echo 'YAY! register thing works fine here!';
 }else{
    echo '<p><font color="red"><sup align=center >error</sup>The email u entered was invalid!</font></p>';
 }
}


function finishRegister($encoded, $shacode, $mailcheck) {
if ($encoded == true && $shacode == true && $mailcheck == true) {
$query = mysql_query("INSERT INTO `players` VALUES('', '". $encoded ."', '". $shacode ."', NOW(), '', 1, 0, 'images/avatars/default.jpg', '". $mailcheck ."', 0);");
if ($query) {
echo '<p>Congratulations!<br>u have sucessfully registered to the EXF clan website, u can sign up to be clan member now <a href="/">Click to continue</a></p>';
}
}
}
safeNickname($nickname, $password, $password2, $email);


//////////////////////////////////////
}
?>

Toon Meer

Ok ik heb een paar fouten eruit gehaald ook moet je er zeker van zijn dat in je database bij password varchar 40 staat of hoger anders werkt sha1 niet ;).

AeroXbird

NielsB je bent geweldig, nadat ik jouw fix erin had gezet en wat kleine aanpassing had gemaakt in de tekst en opnieuw geregistreerd was werkte het helemaal perfect!
maar nu heb ik weer het probleem dat ik weer met dezelfde naam kan registreren, en als ik de query verander kan er maar 1 iemand registreren

mvg, AeroXbird :cheer:

Nieuwe reactie samengevoegd met originele reactie op 22.12.09 16:58:43:
Hierbij mijn nieuwe register waarbij ik met dezelfde username kan registreren.

PHP

<?php
// NickName Encoding //
if(isset($_POST['register'])){
$nickname = $_POST['nickname'];
$password = $_POST['password'];
$password2 = $_POST['password2'];
$email = $_POST['email'];


function safeNickname($nickname, $password, $password2, $email) {
$dbres = mysql_query("SELECT * FROM `players` WHERE login");
 $encoded =  mysql_real_escape_string($nickname);
 $nickname_rows = mysql_num_rows($dbres);
    if ($encoded == true && $nickname_rows < 1){
    passwordEncrypt($encoded, $password, $password2, $email);
 }else{
    echo '<p><font color="red"><sup align=center >error</sup>The nickname u entered is invalid or does already exist.</font></p>';
 }
}
// Password Encoding //
function passwordEncrypt($nickname, $password, $password2, $email) {
$passwordinput = $_POST['password'];
$passwordinput2 = $_POST['password2'];
if ($passwordinput == $passwordinput2) {
$shacode = sha1($passwordinput);
emailCheck($nickname, $shacode, $email);
}else{
echo '<p><font color="red"><sup align=center >error</sup>The password(s) u entered were invalid or did not match!</font></p>';
}
}






// Email Encoding //
function emailCheck($nickname, $password, $email) {
 $encoded2 =  mysql_real_escape_string($email);
 $mailcheck = validEmail($encoded2);
    if ($mailcheck == true){
    finishRegister($nickname, $password, $mailcheck);
    echo 'YAY! register thing works fine here!';
 }else{
    echo '<p><font color="red"><sup align=center >error</sup>The email u entered was invalid!</font></p>';
 }
}


function finishRegister($encoded, $shacode, $mailcheck) {
if ($encoded == true && $shacode == true && $mailcheck == true) {
$query = mysql_query("INSERT INTO `players` VALUES('', '". $encoded ."', '". $shacode ."', NOW(), '', 1, 0, 'images/avatars/default.jpg', '". $mailcheck ."', 0);");
if ($query) {
echo '<p>Congratulations!<br>U have sucessfully registered to the EXF clan website, u can sign up to be clan member now <a href="login.php">Click to continue</a></p>';
}
}
}
safeNickname($nickname, $password, $password2, $email);


//////////////////////////////////////
}
?> 
				
                    <!-- Topstory -->
                    <div class="box">
					<form action="<?=$_SERVER['PHP_SELF']?>" method="POST">
					Nickname:&nbsp;<input type="text" value="" name="nickname"/><br>
					Password:&nbsp;<input type="password" value="" name="password"/><br>
					Password <sup>Confirm</sup> :&nbsp;<input type="password" value="" name="password2"/><br>
					Email:&nbsp;<input type="text" value="" name="email"/>
						<input type="submit" value="submit" name="register"/>
						</form>
                    </div> <!-- /box -->

Toon Meer

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

350 Nieuwe Domeinnamen Januari 2026

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Login-Check

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2