Login er case sensitive

<ole>

Går ønsket specifikt på at sænke sikkerheden?  =)

/mvh
</bole>

Måske er der noget jeg ikke helt har forstået mht koden..

Men sagen er meget simpel:

hent alle records hvor username = brugernavn og password = kodeord

Antallet af rækker den returnerer:
0 = brugernavn / kodeorde kombinationen findes ikke (forkert login data)
1 = alt er ok

Og så er det i din SQL sætning, at du enten skal sammenligne med med lowercase ELLER uppercase..

Jeg tror du har et gevaldigt anderledes alvorligt problem i din kode. Person A kan logge ind med person Bs password.

Jeg er ikke PHP-programmør, men noget i stil med:

$result = mysql_query("SELECT username, password FROM registrations WHERE LOWER(username) = '" . strtolower($mysql_username) . "' and LOWER(password) = '" . strtolower($mysql_password) ."'") or die (mysql_error());

Felter er normalt ikke case-sensitive i mysql - så alt det bøvl behøv's ikke

Jeg havde ikke set på koden, men reagerede udelukkende på den voldsomme indsnævring af mulige tegn. Nu, jeg har set den, må jeg tilslutte mig Eriks påpegning af et fatalt problem i din kode!  =)

Men når nu du barberer sikkerheden ned ved at fjerne næsten halvdelen af de tegn en potentiel hacker skal vælge imellem, kan man vel bare fjerne login helt. Så bliver det endnu lettere at være bruger  ;o)

Som Erik påpeger, er søgninger på felter normalt ikke case-sensitive i MySQL, hvilket dog kan afhælpes, hvis man ikke gemmer password'et - men f.eks. en md5 hash (som vil være forskellig alt efter stavning med store og små tegn).

Puha, det er jeg ked af, at I skulle udsættes for. Har rettet det nu, Erik. Det er nemlig et script jeg fandt på nettet dengang jeg var HELT nybegynder, så har ikke lige kigget på det siden. Nu kunne jeg dog godt se fejlen.

Desuden kom jeg til at tænke på, om det mon skyldes, at mit webhotel kører på Linux - altså om det er derfor mit login er case sensitive. Sådan er det jo med filnavne. Jeg vil overveje at lade det forblive sådan, men hvis der er nogen der ved hvordan jeg kan rette det, så må I meget gerne skrive; så har jeg i hvert fald muligheden! :)

Og mange tak for at spotte en kæmpe fejl for mig. Så kan jeg da også bare lære ikke at stole på random scripts der ligger på nettet. Jeg er heldigvis blevet bedre til at spotte sådanne fejl, men havde ikke lige kigget tilbage på dette script. ;)

Dit login er i koden case-sensitiv fordi du sammenligner i PHP.

Hvem ved, måske er du den første, der finder et script på nettet med fejl i ?

:)