Login samlignings problem

Kig på http://dk.php.net/manual/da/function.strtolower.php

Det er den jeg plejer at bruge

Når du gemmer password i databasen skal du bruge md5(strtolower($password)).

Det samme gælder i login delen, $password = md5(strtolower($_POST['password']));

Ikke at jeg personligt anbefaler det, og du burde også overveje at bruge et salt.

Salt kan du finde mere om på nettet :)

I øvrigt.. hvorfor loope når du ved at du har max ét resultat - LIMIT 1...

if(mysql_num_rows($result)) {
  $r = mysql_fetch_assoc($result);
  if(($r['username'] == $username) && ($r['password_crypto'] == $password)){

  [...]
}

kunne også bare gøre sådan.

if((strtolower($r['username']) == strtolower($username)) && ($r['password_crypto'] == $password)){

man tak havde ikke lige tænkt over at bruge strtolower

hurtig spørsmål hvordan får jeg første bukstav til at være stort?! for nu står alt småt når men logger ind :)

det her burde gerne virke...

$navn = "peter";
$total_laengde = strlen($navn)-1;
$forbogstav = substr("$navn", 0, 1);
$resten = substr("$navn", 1, $total_laengde);

$forbogstav = strtoupper($forbogstav);
$navn = "$forbogstav$resten";
echo $navn;

Hvad med at bruge:

$navn = 'philip espersen';

ucfirst($navn);
// Philip espersen
eller

ucwords($navn);
// Philip Espersen

tak :P philiplip du fortjæner vis de points mange tak for hjælpen! :P

Syntes leif skal smide et svar, han var den første til at komme med et brugbart svar.

phliplip -> Lad os dele

retake -> Du ville kun lave strtolower på brugernavnet ik ? Ellers bliver det et sikkerheds issue, da du så lige pludselig minimere antallet af mulige password.

leif: Så skidt da..

retake: Som leif siger, og som jeg også har anbefalet.

Password: Ingen streng manipulering, md5 med et salt. Evt. sha-2 (sha-512) kryptering, da der findes rainbow tabeller ude på nettet at en rimelig anseelig størrelse. Rainbow tabeller er databaser over md5 strenge og deres oprindelige værdi. Og derfor anbefales det også at du bruge et tilfældigt salt.

Username: Syntes jeg heller ikke du skal gøre lowercase, du skal bare gøre strengene lowercase i sammenlignings øjeblikket. Mener ikke at MySQL er casesensitive når man sammenligner - hæng mig ikke op på det. Men du kan bruge  LOWER(), for at være på den sikre side.

$result = mysql_query("SELECT * FROM users WHERE LOWER(username) = '" . strtolower($username) . "' LIMIT 1");

På den måde får du brugerens brugernavn på den måde som han oprindeligt skrev det, men sammenligner lowercase. Med f.eks. email-adresser ville jeg nok køre den igennem strtolower() inden jeg gemmer det i databasen, nu tænker jeg på hvis du bruger email adresse som login.

For at vende tilbage til salt; så kort fortalt genererer du en tilfældig værdi klistrer det ind i foran password og krypterer passwordet, med f.eks. md5 (husk hvad jeg sagde om SHA-2).
Derefter gemmer du den krypterede streng (hash-værdien hedder det rigtigt) og saltet i databasen for den enkelt bruger.

Når du så skal sammenligne tager du og finder brugeren, den SQL ovenover. Tager salt fra dataset'et og klistrer det ind foran brugerens indtastede password fra login, kører MD5 på den streng og sammenligner med den hash der ligger gemt ved brugeren i databasen. Er de ens er passwordet korrekt.

Hvem skulle havde de points :) jeg er lidt forviret.

Nå men det du siger er at jeg skal kryptere password med MD5 og så kryptere det igen med en forudbestemt kode?! eller fanger jeg den ikke rigtig?

<?php

$username = 'min@mail.dk';
$password = 'SuperHemmeligtPassword';
$salt = rand(100, 999);
// $salt bliver bedre hvis det en funktion der
// genererer tilfældige strenge, det må du selv finde

$hash = md5($salt . $password);

mysql_query("INSERT INTO users (id, username, password, salt) VALUES (null, '" . $username . "', '" . $password . "', '" . $salt . "')");

?>

<?php

$_POST['username'] = 'min@mail.dk';
$_POST['password'] = 'SuperHemmeligtPassword';

$result = mysql_query("SELECT id, password, salt FROM users WHERE username='" . $username . "' LIMIT 0,1");

if(mysql_num_rows($result)) {
  $user = mysql_fetch_assoc($result);
  if(md5($user['salt'] . $_POST['password']) == $user['password']) {
    echo 'Velkomen ' . $user['username'];
  } else {
    echo 'Forkert password!';
  }
} else {
  echo 'Ingen bruger med det username';
}

?>

Så har du vist også fået rigeligt for det 15 points :)