PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

3 Antworten

Meathor

21.06.2016, 08:19

Mit einem blick auf das hier:

$passwordhashed = mysql_query("SELECT password FROM user WHERE username='$username'");$passwordhashedstring = (string)$passwordhashed;

findet sich der Fehler schnell.

Du vergleichst hier das eingegebene Passwort mit der Result ID und nicht mit den PW aus der DB.

$arr_pw = mysql_fetch_array($passwordhashed);

$passwordhashedstring = $arr_pw[0];


 if(password_verify('password', $passwordhashedstring)) {

Sollte hier funktionieren wenn das PW in die DB Spalte gepasst hat.

Alternativ vergleich das ausgelesenen PW aus der DB mit dem gehaschten eingegebenen.

http://pastebin.com/eK2TL2Qa

mfg

Babelfish

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, HTML, PHP

20.06.2016, 12:33

Schau dir mal die PHP-Doku zu mysql_query an. Die Funktion bringt keinen String zurück und damit kann dein Hash nicht stimmen. Zum Debuggen empfehle ich, immer mal die verwendeten Werte mit einem echo ausgeben zu lassen, damit du siehst, wo es klemmt.

Davon abgesehen solltest du von Anfang an wenigstens die MySQLi-Funktion mysqli_query nutzen, da alles andere spätestens ab PHP 7 nicht mehr unterstützt wird.

Der Hinweis von Peter, einen Salt zu nutzen, ist auch wichtig.

Woher ich das weiß:Berufserfahrung – Entwickle seit > 20 Jahren Anwendungen mit PHP.

Grosslukass

Fragesteller

20.06.2016, 13:08

Danke für den Hinweis!

Ich werde die MYSQL-Funktion nochmal überarbeiten ^^

Gibt es denn eine passende Funktion die einen String zurück gibt bzw. kann ich die Rückgabe nicht in String umwandeln?

Babelfish

20.06.2016, 13:19

@Grosslukass

Mit mysql_fetch_array nutzt du doch schon eine entsprechende Funktion. Wenn du das vorher schon machst und dir ID und Passwort zurückgeben lässt, kannst du dir sogar eine Abfrage sparen.

Es gibt viele Anleitungen zu MySQLi im Netz. Eine ist hier:

http://www.peterkropff.de/site/php/mysqli.htm

PeterKremsner

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

20.06.2016, 12:19

Das kommt drauf an welche Codierung deine Datenbank verwendet und wie viele Zeichen dein Feld in der Datenbank lang ist.

Wenn du das Feld auf 60 Zeichen limitiert hast kannst du darin keinen Hash mit mehr 60 Zeichen speichern.

Für den SHA512 Hash benötigst du je nach repräsentation unterschiedliche Längen, wenn du den Wert als Hexadezimal Speicherst brauchst du dazu 128 Zeichen, wenn du ihn als Base64 Speicherst brauchst du 88 Zeichen, wenn du ihn als Bits speicherst brauchst du 512 Zeichen...

Nur als kleine Anmerkung verwende auch noch einen Salt dazu...

Grosslukass

Fragesteller

20.06.2016, 13:05

Danke schonmal für die Antwort!

Also ich benutze den in meiner Datenbank den Typ "Text" der 65.535 Zeichen lang sein kann. Ich weiß jetzt nur nicht ob "Text" = "String" bedeutet, weil es an sich die Codierung "String" nicht gibt.

P.S. Ich verwende phpMyAdmin als für meine Datenbank und der Salt kommt dann am Ende hinzu, wenn das erstmal funktioniert ^^

Babelfish

20.06.2016, 13:15

@Grosslukass

Definitiv besser ist es, einen VARCHAR mit der benötigten Länge zu nutzen. Der Type TEXT ist für größere und von der Länge nicht vorhersehbare Felder gedacht.

PeterKremsner

20.06.2016, 20:28

@Grosslukass

Ja Text ist string, aber nimm wie von Babelfish vorgeschlagen VARCHAR.

Ist der Hash den du in der DB stehen hast, per Phpmyadmin ausgelesen gleich wie der Hash der dir von der Hashfunktion zurückgegeben wird?

Verwende zur Überprüfung nicht den == Operator sondern lass dir beide anzeigen und vergleiche sie durchs hinsehen.

In welchem Format speicherst du deinen Hash eigentlich?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

abfragen ob ein wert vorhanden ist?

ist es möglich eine abfrage bei php so zu schalten das wen der wert bereits in einer anderen Datenbank vorhanden ist dann nicht mehr ausgeben wird?

...zur Frage

Daten aus MySQL auf Website darstellen?

Ich habe Daten in einer MySQL Datenbank, die ich gerne auf einer Website darstellen möchte, jeweils immer beim Klick auf einen Button (pro Button eine etwas andere Abfrage)

Eine entsprechende Abfrage dafür wird in JavaScript bereits erstellt.

Jetzt müssen die Daten nur noch abgerufen und eingefügt werden. - Nach allem, was ich gelesen habe, soll es sehr umständlich sein, MySQL in JavaScript zu verbinden.

Bisher habe ich probiert, die Abfrage per Cookie in PHP zu übertragen, dort die Daten abzufragen und zu echoen - das ganze mit einem getElementById().innervalue = ..., sodass immer die aktuelle Abfrage im DOM-Element ist, das passiert aber nur beim ersten Mal.

Das Abfragen der Daten in PHP und Zurückgeben an JS hat weder über einen Cookie, noch ein echo funktioniert.

...zur Frage

Mit PHP und MySQL auf "entfernte" Datenbank zugreifen?

Hi, ich arbeite mich gerade in das Thema MySQL ein und habe eine Frage bezüglich mysqli_connect. Wenn man im PHP Skript auf eine Datenbank zugreifen will, kann man das ja ca.wie folgt:

mysqli_connect(localhost, benutzer, passwort, datenbankname);

Ist es möglich, dass ich mich auch auf Datenbanken anderer "Webserver" verbinde, nur als Beispiel, Apple.

mysqli_connect(apple.com, benutzer, passwort, datenbankname);

Vielleicht ist das eine dumme Frage, aber ich fange mit dem Thema gerade erst an und da habe ich mich gefragt, ob das möglich wäre :).

Danke für jede Antwort!

...zur Frage

Wie garantiere ich eine sichere Verbindung zwischen einer Android Application und einer MySQL Datenbank?

Hallo,

Ich bin gerade dabei eine Android App zu erstellen, für welche ich eine MySQL-Datanbank Anbindung benötige.

Testweise habe ich mit XAMPP eine Lokale Datenbank und PHP-Scripts in meinem Netzwerk veröffentlicht um mit Android-Studio und meinem Smartphone mit diesen zu Interagieren. Die Kommunikation zwischen Java und PHP funktioniert problemlos.

Wenn ich jedoch überlege diese App zu veröffentlichen und die Datenbank hierfür Online zu stellen ist es doch sehr unsicher, da jeder Zugriff auf die PHP Scripts haben kann welche mit der Datenbank interagieren. ist es eine Lösungsmöglichkeit die PHP Scripts in der App zu speichern und durch diese auf die Online Datenbank zuzugreifen? Denn es gibt doch sicher Möglichkeiten die App Ordner einzusehen und somit auch die PHP-Scripts mit den Passwörtern für die Datanbank!

Hat jemand diesbezüglich Erfahrungen, Tipps oder eine sichere Lösungsmöglichkeit? Ich habe lediglich Grundkenntnisse was Datenbanken angeht und zu diesen gehört leider nicht die Sicherheit.

...zur Frage

PHP: Datensätze vorhanden, aber mysqli_fetch_object gibt keine Ergebnisse aus?

Hallo zusammen,

ich bräuchte einmal einen Gedankenanstoß.

Ich will mit einem ganz normalen mysqli_query Tabelleneinträge aus einer MySQL-Datenbank ausgeben. Wenn ich die reine SELECT-Anweisung direkt in phpMyAdmin eintrage, bekomme ich korrekte Treffer. Aber zusammen mit PHP wird dann plötzlich nichts mehr ausgegeben, obschon auf der gleichen Seite reihenweise andere Abfragen in der gleichen Datenbank erfolgreich ausgegeben werden.

Es gibt für mich überhaupt keinen erkennbaren Grund, warum 9 Abfragen korrekt beantwortet werden, aber diese eine plötzlich nicht, trotz vorhandener Tabelleneinträge.

Die Abfrage sieht so aus:

$ergebnis = mysqli_query($db, "hier-die-korrekte-und-funktionierende-select-Abfrage'");

while ($row = mysqli_fetch_object($ergebnis)) {
  echo"$row->tabellenfeld";
}

Wo muss ich ansetzen? Kann man das so erkennen?

...zur Frage

Wieso wird der PHP-Code nicht ausgeführt?

Hey!

Ich möchte ein Loginsystem machen und mache es nach Tutorial. Wenn ich die Daten öffne, wird sie nur heruntergeladen oder zeigt mir den Quellcode an.

Wie kann ich machen, dass es sich mir wie eine normale Seite anzeigt, wie auch im Tutorial?

...zur Frage

Tabelle aus Datenbank lässt sich trotz Abfrage nicht löschen?

Hallo,

ich kann eine Tabelle aus einer Datenbank nicht entfernen, weil ich diese Fehlermeldung kriege:

#1451 - Löschen oder Aktualisieren eines Eltern-Datensatzes schlug aufgrund einer Fremdschlüssel-Beschränkung fehl

Ich habe mich mal im Internet darüber informiert und nur gefunden, dass man das auch mit einer Abfrage entfernen kann.

Ich glaube das ist die hier:

SET FOREIGN_KEY_CHECKS=0;

DROP TABLE table_with_foreign_key;

SET FOREIGN_KEY_CHECKS=1;

Danach kriege ich aber wieder die gleiche Fehlermeldung. Weiß jemand, was ich jetzt machen kann?

...zur Frage

XAMPP / PHPMYADMIN | If abfrage über PHP?

Hallo zusammen,

ich habe einen Ordner in Xampp / eine HTML-PHP-Datei, mit welcher ich Daten in meine Datenbank schreiben kann.
Namen und einige Boolean-Werte.

Nun möchte ich jedoch eine IF-Abfrage einbauen, dass ich sagen kann:

Person 1: Sobald Dev bei boolean Wert = 1 dann..... Text.

Ebenfalls möchte ich die Ergebnisse in einer UserForm / Pop-up anzeigen lassen.

Ist so eine Abfrage aus den Daten des Xampp-Servers möglich und kann ich mit diesen in PHP weiter Programmieren?
Leider finde ich dazu nichts.

Gibt es andere Wege Daten einfach abzuspeichern und mit diesen zu arbeiten? Besondern wichtig ist mir die Einfachheit des Hinzufügen und Ändern der Daten über einen CSS-Button, da diese Seite dann auch andere nutzen sollen.

Vielen DANK....

...zur Frage

Php Bild in die Datenbank eintragen?

Hi an alle die sich ein wenig mit php auskennen.

Könnte mir vielleicht jemand zeigen wie man mit beispielsweise $msql als PDO Datenverbindung ein Bild in einen Ordner und Datenbank eintragen lässt der Ordner würde dann Images heißen.

Vormaterial:

<?php //Datenverbindungsvariable: $mysql
include "mysql.php";
//Spalte in die Eingetragen werden soll: Image
//code fürs eintragen in die Datenbank
?>
<form action="mainfile.php">
<input type="file" name="mainInput">
</input>
</form>

...zur Frage

Excel Export aus MySQL Datenbank per PHP?

Hallo, ich habe eine MySQL Datenbank mit mehreren Tabellen. Die Abfrage und Ausgabe im Browser funktioniert soweit ganz gut, jedoch möchte ich anstatt der Anzeige im Browser meine Abfrage als Excel Datei exportieren.

Das heißt ich führe das Script aus und der Browser bietet mir an eine Excel Datei mit dem entsprechenden SELECT Inhalt zum Downloaden und Speichern bzw. öffnen an.

Hat jemand vielleicht Hilfe mit den erforderlichen Code-Bausteinen oder evtl. sogar eine Komplettlösung? Ich bin echt am verzweifeln und bei google gefühlt auf Seite 50000...

...zur Frage

PHP Login-System: Verschiedene User auf jeweiliges Skript?

Hey.

Ich hab auf meinem XAMPP Server eine Datenbank mit drei festen Usern. Diesen sind ein Nutzername/ID (z.B. 4644786744) und ein Passwort (z.B. 4vv41ge6w) zugewiesen.
In einer weiteren Datenbank stehen Datensätze mit Lizenzschlüsseln.

Nehmen wir an, es die Nutzer-IDs der User sind folgende:

ID von User-01: 64154186756
ID von User-02: 56416816489
ID von User-03: 47485694587

Angenommen, die Datenbank mit den Schlüsseln ist folgende:

LIZENZSCHLÜSSEL ID

v64v6d04s1vgb68rv 64154186756
b41aswgvb0n041nd4 64154186756
gbv145nj1r410ndss 64154186756
gvsagvb104gv84410 56416816489
w41fdw01scd485sw1 56416816489
gedavge68v1408041 47485694587

User-01 hat 3 Schlüssel. User-02 hat 2 Stück, und User-03 hat einen Lizenzschlüssel.

Meine Frage nun:

Ich möchte jetzt ein Login Formular haben, mit dem sich z.B. User-02 mit seiner ID als Nutzername und seinem Passwort als Passwort anmelden kann und so dann die zu ihm gehörigen Lizenzen einsehen kann.

Zu den drei Nutzern habe ich jeweils eine php-Datei. Führt man die Datei für User-03 aus, werden die dem User-03 zugewiesenen Lizenzen ausgegeben.

Wie schaffe ich es, dass wenn sich ein User anmeldet, dass das Skript dann auch auf "seine Datei" zugreift?

Ein bisschen Code wäre z.B. auch sehr hilfreich :)

Eine etwas längere Frage...
Aber vielen Dank für jede Antwort und Hilfe.

...zur Frage

MySQL Datenbankinhalt per PHP Mail senden?

Ich würde gerne gewisse Inhalte aus einer SQL Datenbank per eMail versenden wenn das Datum in der Spalte "Wiedervorlage" das heutige ist. Das ganze Skript muss ich dann per Cronjob ausführen - soweit weiß ich es aber ich bekomme die Kombi zwischen PHPMail Versand und SQL Abfrage nicht hin. Ich bin bei Google auf Seite 10!! und hoffe hier auf Hilfe! :)

meine Datenbank hat in der Tabelle wiedervorlage u.a. die Spalten "finanzprojektnummer, wiedervorlage und beschreibung. Diese will ich alle per eMail ausgeben und senden, wenn das Datum in "Wiedervorlage" dem heutigen entspricht.

...zur Frage

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen