Md5 password auth der går galt..

ups rettelse

livedemo er her.:
http://esL.lir.dk/esl/

hvad går der galt? - din $PHP_SELF skal nok være $_SERVER['PHP_SELF'] - kan det være det?

Mon ikke, at dette:
if($user2['password'] == md5($_POST['password'])) {

skulle have været:
if($user2[n] == md5($_POST['password'])) {

(hvor n er nummeret på placeringen af passwordet i din array)

får den password fra en cookie eller er det ved manuel indtastning?

den får det fra en manuel indtastning i sig selv

er det en fejl at jeg flere gange har brugt $_POST[username] ude '' i burde de se sådan her ud $_POST['username'] eller er det ligemeget?

Jeg vil tro at der skal være '' omkring.
Så må du jo sætte noget debug kode ind.
redirecten, og sæt en echo "efter første If"; echo "efter anden if";
ind efter hver if statement så du kan se hvor den ikke gør som du forventer.

det sidste er vist den 'korrekte' skrivemåde, men det første giver ingen fejl - såå..

glemte at pastebin sletter sourcen her er koden igen stadig intet har hjulpet den kan dog finde variblerne password og username men der sker et eller andet når den skal sammenligne de 2 md5 krypterede passwords kan det være fordi det ene ikke bliver lavet til md5 eller bliver lavet om til normalr password?

<?
mysql_connect($host, $user, $pass); 
mysql_select_db($db);

if ($_GET['logout'] == "") {
    if (!$_SESSION['loggedin']) {
        if ($_POST['username'] != "") {
            $user1 = mysql_query("SELECT * FROM users WHERE
login='".$_POST['username']."' LIMIT 1"); 
            if(mysql_num_rows($user1) > 0) { 
                $user2 = mysql_fetch_array($user1); 
                if($user2['password'] == md5($_POST['password'])) { 
                    $query = "SELECT * FROM users WHERE login = '$_POST[username]' LIMIT
1";
                    $result = mysql_query($query) or die ("Error in query: $query. " .
                    mysql_error());
                    $row = mysql_fetch_object($result);
                    $_SESSION['loggedin'] = $row->name;
                    $_SESSION['userid'] = $row->id; 
                    $_SESSION['userdata'] = $row->data; 
                    $_SESSION['userlevel'] = $row->userlevel;
                    header("Location: $PHP_SELF?mode=admin");
                } else {
                    echo "Hmm... I sense someone who can't type or wants to be somewhere they
shouldn't be. Bad password.<br>$username<br>$password";
                }
            } else {
                echo "Oops... Seems like you can't type!";
            }
        } else {
?>
<form action="<? echo $PHP_SELF; ?>?mode=admin" method=POST>
<input type="text" name="username" value="Login" onFocus="select()"
size="15"><br>
<input type="password" name="password" value="Password"
onFocus="select()" size="15"><br>
<input type="submit" value="login">
</form>
<?
        }
    } else {
        echo "Welcome ".$_SESSION['loggedin'].". You are now logged in.<br>You
can change your detail and preferences by clicking on the links below. If you
have any problems or question, write a mail to NeverKnow (<a
title=\"Mail the webmaster\"
href=\"mailto:recall@e-mail.dk?subject=User response from
".$_SESSION['name']."/".$_SESSION['userid']."\">recall@e-mail.dk</
a>).<br><br>";
        echo "<a href=\"?mode=news&do=write\">Write news</a><br>";
        echo "<br><br><b>Details:</b><br>";
        echo "Name: ".$_SESSION['loggedin'];
        echo "<br>Userid: ".$_SESSION['userid'];
        echo "<br>Userlevel: ".$_SESSION['userlevel'];
    }
} else {
    header("Location: $PHP_SELF?mode=admin");
    session_destroy();
}
?>

Hvilkes login navn og password kan man teste livedemoen med?
er det Login og password?
hvis der er, kan den ikke finde en bruger med navnet "Login"

Nej. Username = Rune Password = troelzor
md5 laver det om til 65ed35082a0eca105d3acccbdfe328b0 og i min mysql er det også 65ed35082a0eca105d3acccbdfe328b0.

før denne linie if($user2['password'] == md5($_POST['password'])) {
prøv at udskrive $user2["login"] $user2["password"] og $_POST["login"] $_POST["password"]

Og fjern alle dine redirect og indsæt udskrivningen af en text istedet, måske loader den login 2 gange.

det er selvfølgelig md5($_POST["password"]) jeg var intresseret i at se.

Der er iøvrigt en overflødig SQL forespøgsel:

if($user2['password'] == md5($_POST['password'])) { 
    $query = "SELECT * FROM users WHERE login = '$_POST[username]' LIMIT 1";
    $result = mysql_query($query) or die ("Error in query: $query. " . mysql_error());
    $row = mysql_fetch_object($result);
    $_SESSION['loggedin'] = $row->name;
    $_SESSION['userid'] = $row->id; 
    $_SESSION['userdata'] = $row->data; 
    $_SESSION['userlevel'] = $row->userlevel;
    header("Location: $PHP_SELF?mode=admin");
}

kan du iøvrigt erstatte med

if($user2['password'] == md5($_POST['password'])) { 
    $_SESSION['loggedin'] = $user2['name'];
    $_SESSION['userid'] = $user2['id']; 
    $_SESSION['userdata'] = $user2['data']; 
    $_SESSION['userlevel'] = $user2['userlevel'];
    header("Location: $PHP_SELF?mode=admin");
}

mener du det ville løse problemet?

Du kan tilsyneladende ikke overskue "din" kode, så du kunne jo starte med at rydde op. Ovenstående er et tiltag i den retning.

Du mangler da vist iøvrigt også at kalde session_start()

Nej har været væk fra php i lidt over ½år så har jeg hevet det gamle script der frem og nu kan jeg ikke huske hvad mine tanker var dengang :/

nej det her er en included fil admin.php resten ligger øverst i index.php

<?
ob_start();
include("inc/variables.php");
include("inc/functions.php");

session_start();
?>
<htm....