[casi242]

Zitat:

Zitat von robo47

Dein Code schreibt allerdings nicht $passw sondern $_POST['passw'] in die Datenbank und das ist wohl immer leer und daher immer der gleiche Hash, der von einer leeren Zeichenkette.

Zitat:

Falscher Ansatz, das sollte man von Anfang an beachten sonst wird es nur aufgeschoben und dann vergessen

??? Jetzt habe ich extra alles mit diesem $_POST['xxxxx'] versehen, um überhaupt einen Wert zu haben ( register_globals ) und um der Sicherheit wegen, nu isses auch wieder falsch ??
In dieser Form: ...$username, $passw, etc. geht erstrecht nix, weil leer, mit $_POST bekomme ich zumindest Werte in die Datenbank.

Ja, mit der Sicherheit haste wohl Recht, doch ich habe ein Problem: ich muss gleichzeitig Lernen und Fertigwerden..ich Tippe hier um meine Existenz..in meiner Haut möchte keiner stecken...am liebsten würde ich alles Hinwerfen, doch ich kann mir das nicht aussuchen...

[robo47]

Es geht darum WORAUF du zugreifst.

Wenn du in einem Formular deine Variablen logpass[] nennst musst du auf der nächsten Seite via

$_POST['logpass'][0] und $_POST['logpass'][1] zugreifen

Wenn du dann einer variable names $passw den Wert von $_POST['logpass'][0] zuweißt, dann musst du dann natürlich auch $passw nutzen und nicht $_POST['passw']

[Ben]

Zitat:

Zitat von casi242

ich muss gleichzeitig Lernen und Fertigwerden..ich Tippe hier um meine Existenz..

Ganz ehrlich? Dann würde ich mir schleunigst einen anderen Job suchen! Ist nicht böse gemeint.

----

Aber zu deinem konkreten Problem.
Du machst zu viele Schritte auf einmal. Also tief durchatmen, nicht in Panik verfallen und das Schlafen nicht vergessen! Kein Scherz, sondern ganz ernst gemeint!


Fangen wir einfach mal an. Ich habe dir jetzt mal ein paar Dateien gebastelt, welche zusammen ein gaaanz simples Loginsystem ergeben.
Ich habe den Quelltext mit Kommentaren versehen, die eigentlich selbsterklärend sein sollten.
Wenn du Probleme mit der ein oder anderen PHP-Funktion hast, dann schlage sie doch einfach um Manual nach. Das muss ich erwarten können, wenn ich dir helfen soll!

Auf geht's ..

Ich gehe das mal der Reihe nach durch.
Es gibt folgende Dateien

• index.php
• add_user.php
• login.php
• logout.php
• secret.php
• db_connect.php

Diese habe ich jetzt zum Test einfach mal folgendermaßen angeordnet.
dateistruktur.jpg

Wenn du da etwas änderst, musst du die entsprechenden Pfade in den Skripten anpassen, heißt beim require_once() und bei den header('Location; ..')-Angaben.
Nun gut.


Die index.php ist simpel und enthält nur zwei Links. Einen zum Formular, um User anzulegen (was in dem Skript hier jeder einfach so kann, ist halt nur 'ne Demo) und zum Loginformular.

PHP-Code:

<h1>Test Startseite</h1>

<ul>
<li><a href="login.php">Login</a></li>
<li><a href="add_user.php">User hinzufügen</a></li>
</ul> 


Zunächst müssen wir mal einen User anlegen. Um das machen zu können benötigen wir also erst einmal eine Datenbank mit entsprechender Tabelle.
Also Datenbank anlegen und dann Tabelle anlegen. Du kannst für das Anlegen der Tabelle auch einfach den unten stehenden SQL-Query in phpMyAdmin abschicken. Wie du magst.

Code:

--
-- Tabellenstruktur für Tabelle `user`
--

CREATE TABLE `user` (
  `userid` int(8) NOT NULL auto_increment,
  `username` varchar(20) collate latin1_general_ci NOT NULL,
  `password` varchar(32) collate latin1_general_ci NOT NULL,
  PRIMARY KEY  (`userid`),
  KEY `username` (`username`)
) ENGINE=MyISAM  DEFAULT CHARSET=latin1 COLLATE=latin1_general_ci;

So. Um auf die Datenbank zugreifen zu können musst du eine Verbindung herstellen. Du hast das über eine extra Datei gemacht und das habe ich jetzt einfach mal übernommen.

Meine db_connect.php sieht folgendermaßen aus.

PHP-Code:

<?php

// DB-Zugriffsdaten (MUSST DU AN DEINE KONFIGURATION ANPASSEN!)
$db_config = array(
    'server'        => 'localhost',
    'user'          => 'root',
    'password'      => '',
    'database_name' => 'scripts' 
);


// Verbindung zum DB-Server herstellen und im Fehlerfall eine Meldung ausgeben
$connection = mysql_connect(
    $db_config['server'], 
    $db_config['user'], 
    $db_config['password']
) or exit( __LINE__.', '.__FILE__.'<br />' .mysql_error());

// Verbindung zur Datenbank herstellen und im Fehlerfall eine Meldung ausgeben
$db_select = mysql_select_db(
    $db_config['database_name'], 
    $connection
) or exit( __LINE__.', '.__FILE__.'<br />' .mysql_error());

?>

Hast du deine Daten angepasst kann es losgehen. Wir können nun theoretisch User anlegen. Nun also die add_user.php!

PHP-Code:

<?php

// Sofern das Formular abgeschickt wurde, wird der User 
// in der Datenbank angelegt
if ( array_key_exists('submit', $_POST) ) {
    
    // DB-Verbindung herstellen
    require_once('../lib/db_connect.php');
    
    // 1. Leerzeichen werden vom Anfang und Ende des Usernamens/Passwort entfernt
    // 2. Eventuelle Tags und Slasheswerden aus dem Usernamen/Passwort entfernt
    $username = trim(strip_tags(stripslashes($_POST['username'])));
    $password = trim(strip_tags(stripslashes($_POST['password'])));
    
    // SQL-Anweisung basteln, um User in der DB-Tabelle einzufuegen
    $sql = "INSERT INTO user
            (
              username, password
            ) VALUES (
              '". mysql_escape_string($username) ."',
              MD5('".$password."')
            )";
    
    
    // SQL-Anweisung an die DB schicken und im Fehlerfall eine Meldung ausgeben
    $res = mysql_query($sql) or exit( __LINE__.', '.__FILE__.'<br />' .mysql_error());
    
    // Wenn kein Fehler aufgetreten ist auf die Startseite weiterleiten
    header('Location: index.php');
    exit();
} 

// ELSE 
// Wurde das Formular nicht abgeschickt wird es angezeigt :-)
// es wird kein PHP-Else-Zweig benoetigt

?>

<h1>User hinzuf&uuml;gen</h1>

<form action="<?php $_SERVER['PHP_SELF']; ?>" method="post">

Username: <input type="text" name="username" /><br />
Passwort: <input type="password" name="password" /><br />

<input type="submit" name="submit" value="User hinzuf&uuml;gen" />

</form>

Bevor du irgendetwas anderes machst testest du nun, ob das funktioniert. Also die genannten drei Dateien erstellen und dann mal auf der Startseite auf "User hinzufügen" klicken. Dann dort zum Beispiel als User "casi" und als Passwort "test" eingeben.
Wenn alles klappt solltest du auf die Startseite weitergeleitet werden.

Solltest du einen Fehler der Marke "headers already sent" erhalten, dann such mal hier im Forum oder beim Suchdienst deiner Wahl. ;)
Das musst du rausfinden können, wenn es um deine Existenz geht!


Aber das wird schon klappen, so dass wir uns nun einloggen können.
Also fix auf "Login" geklickt und schon kommen wir zum Loginformular.

Die login.php zeigt entweder das Loginformular an oder versucht bei abgeschicktem Formular den Login durchzuführen.

PHP-Code:

<?php

// Sofern das Formular abgeschickt wurde, wird der User 
// in der Datenbank angelegt
if ( array_key_exists('login', $_POST) ) {
    
    // Session starten
    session_start();
    
    // DB-Verbindung herstellen
    require_once('../lib/db_connect.php');
    
    // 1. Leerzeichen werden vom Anfang und Ende des Usernamens/Passwort entfernt
    // 2. Eventuelle Tags und Slasheswerden aus dem Usernamen/Passwort entfernt
    $username = trim(strip_tags(stripslashes($_POST['username'])));
    $password = trim(strip_tags(stripslashes($_POST['password'])));
    
    // SQL-Anweisung basteln, um User in der DB-Tabelle einzufuegen
    $sql = "SELECT userid, username
              FROM user
              WHERE username = '". mysql_escape_string($username) ."'
              AND password = MD5('".$password."')";
    
    // SQL-Anweisung an die DB schicken und im Fehlerfall eine Meldung ausgeben
    $res = mysql_query($sql) or exit( __LINE__.', '.__FILE__.'<br />' .mysql_error());
    
    // Stimmen die eingegeben Userdaten mit keinem Eintrag aus der DB ueberein
    // so wird eine Fehlermeldung angezeigt
    if ( mysql_num_rows($res) == 0) {
        
        header('Location: login.php?error=');
        exit();
    }
    
    // Daten holen
    $data = mysql_fetch_assoc($res);
    
    // .. und in der Session speichern
    $_SESSION['username'] = $data['username'];
    $_SESSION['userid']   = $data['userid'];
    
    
    // Wenn kein Fehler aufgetreten ist auf die Startseite weiterleiten
    header('Location: secret.php');
    exit();
} 

// ELSE 
// Wurde das Formular nicht abgeschickt wird es angezeigt :-)
// es wird kein PHP-Else-Zweig benoetigt

?>

<h1>Login</h1>

<?php

// Existiert der Parameter 'error' im URL, so ist ein Loginversuch fehlgeschlagen
// und eine Meldung wird angezeigt
if ( array_key_exists('error', $_GET) ) {
    
    echo 'Es ist ein Fehler aufgetreten. <br />';
}

?>

<form action="<?php $_SERVER['PHP_SELF']; ?>" method="post">

Username: <input type="text" name="username" /><br />
Passwort: <input type="password" name="password" /><br />

<input type="submit" name="login" value="Login" />

</form>

Wird das Formular abgeschickt wird eine Session gestartet (wiederum sei auf den headers already sent-Fehler hingewiesen!). Ist der Login korrekt, also die Daten richtig eingegeben, so wird die User-ID des eingeloggten Users in der Session gespeichert. Auf sie kann nun auf anderen Seiten, auf denen die Session fortgeführt wird, zugegriffen werden.

Letztlich wird bei erfolgreichem Login auf die secret.php weitergeleitet. Hat man Unfug eingegeben kommt man wieder zum Loginformular, wobei eine kleine Meldung angezeigt wird, dass eben nicht alles reibungslos verlaufen ist! :)




Aber es klappt natürlich ;) und man ist im Ultrahochsicherheitstrakt der Webseite angelangt.
Die secret.php macht eigentlich nichts anderes außer zu prüfen, ob ein User, der auf die Datei zugreift eingeloggt ist und wenn dies der Fall ist den Namen des Users anhand der, in der Session gespeicherten User-ID, aus der Datenbank auszulesen.

Ist der User nicht eingeloggt wird er zum Loginformular weitergeleitet.

PHP-Code:

<?php

// Session starten
session_start();

// Ist keine User-ID in der Session gespeichert ist der User nicht eingeloggt
if ( !array_key_exists('userid', $_SESSION) ) {
    
    header('Location: login.php');
    exit();
}

// zur DB verbinden
require_once('../lib/db_connect.php');

// Sicherstellen, dass die User-ID ein Integer ist
$userid = (int)$_SESSION['userid'];

// SQL-Anweisung basteln, um Usernamen testweise aus der DB zu lesen
$sql = "SELECT username
          FROM user
          WHERE userid = ". $userid;

// SQL-Anweisung an die DB schicken und im Fehlerfall eine Meldung ausgeben
$res = mysql_query($sql) or exit( __LINE__.', '.__FILE__.'<br />' .mysql_error());

// Usernamen holen 
$data = mysql_fetch_assoc($res);
$username = $data['username'];

// .. und Willkommenstext anzeigen
echo 'Hallo '. $username .', du hast dich erfolgreich eingeloggt!<br />';

// Link zum Logout anzeigen
echo 'Hier kannst du dich ausloggen: <a href="logout.php">Klick</a>';

?>

Ganz zum Schluss wird noch ein Link zum Logout angezeigt. Das ist immer sinnvoll, gerade beim Testen, damit man nicht immer händisch die Session leeren muss. :)

Die logout.php ist ganz einfach gestrickt.

PHP-Code:

<?php

// Session starten
session_start();

// Sofern User-ID in der Session existiert, Wert loeschen
if ( array_key_exists('userid', $_SESSION) ) {
    
    unset($_SESSION['userid']);
}

// zur Startseite weiterleiten
header('Location: index.php');
exit();
?>

Wenn man nicht eingeloggt ist, also auch keine User-ID in der Session steht, dann kann man sich auch nicht ausloggen. Logisch, oder?


Ich hab dir die Dateien mal als Archivdatei an den Beitrag angehängt, aber es macht durchaus Sinn das mal selbst zu schreiben. Vielleicht aber nicht mehr heute Nacht, sondern morgen früh. Dann hast du ausgeschlafen und bist motivierter.

Bei Fragen, frag .. aber bitte arbeite selbst mit und bastel jetzt nicht wieder an x-Stellen meines Codes rum, sondern versuche einfach erstmal das Skript zum Laufen zu bringen.

Mehr kann ich für dich bei diesem Problem nicht machen und eigentlich ist das für diese Uhrzeit auch schon fast zu viel. ;)

In diesem Sinne .. viel Erfolg!

[casi242]

@Ben

Ok, dann werde ich mal basteln. Genauso habe ichs bisher auch gemacht und es hat alles funktioniert...bis es auf den webspace kam.

Mit dem Schlafen hast Du Recht, frische Luft tut auch gut. Und: keine Sorge, dass Tippen mache ich nicht Hauptberuflich, hab natürlich einen anderen Job... ;)

@robo47

Bei diesem Code ( jetzt mal OHNE die md5 Geschichte ! ):

PHP-Code:

$passw = ($_POST[logpass][0]); 
echo $passw;
$sql = "INSERT INTO kunden (kunden_id, username, passwd)  VALUES ('', '$_POST[username]', '$_POST[passw]')"; 


ist der Datenbankeintrag leer. Habe der Variablen $passw nur aus einer Hilflosigkeit heraus den Passwortstring zugewiesen. Geht aber nicht, weil :

Zitat:

Notice: Use of undefined constant logpass - assumed 'logpass'

Zitat:

Notice: Undefined index: passw

Nochmal: echo $passw; gibt das Passwort richtig in Klarschrift aus !!

PHP-Code:

echo ($_POST[logpass][0]);   
$sql = "INSERT INTO kunden (kunden_id, username, passwd)  VALUES ('', '$_POST[username]', '$_POST[logpass][0]')"; 


Echo gibt den richtigen Wert aus, doch dann: Notice: Use of undefined constant logpass in der Echo Zeile. Inder Datenbank steht Array[].


Das ist doch wieder irgendwo so ein blöder Syntaxfehler. Wenn der Wert nicht direkt vorher richtig ausgegeben werden würde...

[Ben]

Zitat:

Zitat von casi242

Ok, dann werde ich mal basteln.

Nein, du sollst eigentlich in diesem Fall erst mal ein copy und paste machen.

Zitat:

Zitat von casi242

Genauso habe ichs bisher auch gemacht und es hat alles funktioniert...bis es auf den webspace kam.

Tut mir Leid 'casi', das kann ich nicht glauben, weil der Code bei mir auf einem Hosteurope-Webpack einwandfrei läuft!
Ganz abgesehen davon ist das ja auch einfach eine Falschaussage, da du ja anscheinend nicht via $_POST auf die Formulardaten zugegriffen hast, ich das aber tue.
Würde mir wünschen, wenn du meine Arbeit würdigst und dich damit mal befasst .. ansonsten brauch ich so viel Arbeit bei deinen nächsten Fragen auch nicht mehr aufwenden. ;)

[casi242]

Nein, nein, ich meine das mit dem Zusammenschnipseln...ich hatte ja vorher ein Login-System, was funktionierte ! Wenn ich eingeloggt war, wurden mir die Kundendaten angezeigt, aber eben nur "offline" unter xampp !

So, waren wohl Syntaxfehler. Jetzt wird alles in die Datenbank geschrieben. Die eigentliche SQL Anweisung war der Schlüssel. Danke !

Müssen denn alle Daten der Sicherheit wegen in dieser Form '". mysql_escape_string($username) ."' in die Datenbank geschrieben werden oder nur Username und Passwort ?

...und natürlich würdige ich Deine Arbeit ! Letztendlich hat es mir die Lösung gebracht ! Oft ist aber selber so vom Padd ab, dass man die einfachsten Höflichkeitsregeln leicht vergisst...sorry, Danke nochmal !

[Sekundentakt]

Grundsätzlich solltest du alles was in die Datenbank reinkommt mit mysql_real_escape_string(); behandeln. Auch solche Werte, die vielleicht automatisch generiert werden - sollte jemand mal auf deine PHP-Scripte zugreifen können , diese manipulieren können, aber keinen Zugriff auf die MySQL-Datenbank haben(höchstunwahrscheinlich), könnte er auf diese Weise bösartigen Code einschleusen.

[Ben]

Lese auch:
- [ SQL ] Artikel: About Security (#11): SQL-Injection
- [PHP] Sichere PHP-Web-Applikationen schreiben

[casi242]

Ok, das werde ich dann auch so handhaben.

Ben, ich habe jetzt Deinen Code analysiert. Bei mir ist es leider so, dass ich anpassen MUSS. Ich kann auch kaum ein Login-Beispiel nutzen, weil es bei mir anders läuft mit dem Einloggen. Es gibt keine geschützten Bereiche. Der User kann auf alle Seiten, vor, wie nach dem Login. Ist er eingeloggt, werden bei einer Anfrage die Adressdaten automatisch angezeigt. Das funktionierte auch mal.

Ich versuche jetzt mal Step by Step der Sache auf den Grund zu gehen.

Das Einloggen funktioniert. Zumindest werden user und password verglichen. Gibt es zu dem User das entsprechende password gehts zur Hauptseite index.php oder eben wieder auf die Login-Seite.

Mein Problem ist: Bin ich schon drin ?!

Bei mir wird $_SESSION['online'] = true; gesetzt. Wenn der Login erfolgreich war.

Meine index.php ( wie auch alle anderen "Hauptseiten" ) hat einen Kopfbereich head.php. Im Kopfbereich kann der User sehen, ob er eingeloggt ist oder nicht

PHP-Code:

if ( isset($_SESSION['online'])) 
     {
     print"<a href=logout.php>Abmelden</a>";
     }
else
    {
     print"<a href=login.php>Anmelden</a>";
     } 


Das klappte auch mal. Der Login klappt ja anscheinend auch, doch es steht immer "Anmelden" da.

Ich glaub, das ist ein Session-Problem. Ich steig mit den Sessions da nicht durch. Sinn der Sessions ist wohl, dass Daten über mehrere Seiten erhalten bleiben. Nur, wann starte ich eine Session und, muss ich auf jeder Seite, die die Daten braucht, auch wieder eine Session starten ? In deinem Beispiel sind auch mehrere Sessions gestartet, selbst beim Ausloggen.
Im Grunde soll ja erst eine Session gestartet werden, nachdem sich der Benutzer eingeloggt hat.

[Jann Hendrik]

Die Session musst du immer starten. Dann hast du jederzeit die Möglichkeit auf die Daten zuzugreifen.
Wenn der user ausgelogt werden soll - dann musst du das dort ja auch entspr. speichern.

[Ben]

@casi:
Dann benenne einfach die secret.php in hanswurst.php (damit der Name keine Missverständnisse aufwirft) und entferne die Überprüfung in eben dieser Datei, ob der User eingeloggt ist.

Dann hast du das, was du willst.