Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
[PHP] Login sha
07-05-2016, 13:25
#11
RE: [PHP] Login sha
(07-05-2016, 13:21)s0x Skrev: sha1('admin') giver ihvertfald D033E22AE348AEB5660FC2140AEC35850C4DA997... så noget er der galt.
Så jeg vil gætte på at der er et salt involveret, og uden det salt bliver det ikke nemt at gennemskue.

- har prøvet de forskellige kombinationer af Admin:Admin også, ingen giver dit output.

Hmm. Er på vej på arbejde nu men må lige se på registration siden, hvad der så er smidt på. Kunne bare ikke nå at gå ind på serveren og hente filen der tidligere er blevet brugt til at registrere med :)
Explore the world we must
Time's just to short for the best of us
Before death comes
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 13:25
#12
RE: [PHP] Login sha
(07-05-2016, 13:25)Henta24 Skrev: Hmm. Er på vej på arbejde nu men må lige se på registration siden, hvad der så er smidt på. Kunne bare ikke nå at gå ind på serveren og hente filen der tidligere er blevet brugt til at registrere med :)

God arbejdslyst! :)
...trolling nets since 2013
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 13:30
#13
RE: [PHP] Login sha
(07-05-2016, 13:25)s0x Skrev: God arbejdslyst! :)

Jo tak ;)
Men med sanitize mener du at jeg skal filtrere hvad data der kan smides ind i boksene så man ikke bare kan sige 1==1 (sql injection)
Explore the world we must
Time's just to short for the best of us
Before death comes
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 13:31
#14
RE: [PHP] Login sha
(07-05-2016, 13:30)Henta24 Skrev: Jo tak ;)
Men med sanitize mener du at jeg skal filtrere hvad data der kan smides ind i boksene så man ikke bare kan sige 1==1 (sql injection)

lige præcis ;)
...trolling nets since 2013
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 16:03
#15
RE: [PHP] Login sha
Man skal aldrig sanitize user input. Altid outputtet, så du ikke ender med at gemme noget forkert eller outputte noget forkert.
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 17:59
#16
RE: [PHP] Login sha
(07-05-2016, 16:03)Ash Skrev: Man skal aldrig sanitize user input. Altid outputtet, så du ikke ender med at gemme noget forkert eller outputte noget forkert.

Hvis du ikke sanitizer inputtet, risikerer du at kommandoer bliver executed inden noget bliver outputted... just saying Angel
...trolling nets since 2013
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 18:34
#17
RE: [PHP] Login sha
(07-05-2016, 17:59)s0x Skrev: Hvis du ikke sanitizer inputtet, risikerer du at kommandoer bliver executed inden noget bliver outputted... just saying Angel

Det kommer bestemt an på, hvad man skal lave. Hvis brugeren har lyst til at hedde en SQL query eller noget Javascript/HTML/PHP, så skal brugeren selvfølgeligt have lov til at gøre det. Derfor skal man aldrig gemme det sanitized input i databasen eller lignende, da man så skal huske at unescape det hele igen osv.

I stedet for at escape hele lortet og sanitize alt, skal man bruge prepared statements osv. til at sørge for, ens kode bliver kørt som det skal. En bruger må derfor gerne hedde
Kode:
';DROP TABLE mybb_users;
eller whatever. Såvel som han må hedde
Kode:
<h1>whatever </h1>
, bare man husker at escape det inden man outputter det, med htmlentities() osv.

Giver det ikke mening?
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 19:19
#18
RE: [PHP] Login sha
(07-05-2016, 18:34)Ash Skrev: Det kommer bestemt an på, hvad man skal lave. Hvis brugeren har lyst til at hedde en SQL query eller noget Javascript/HTML/PHP, så skal brugeren selvfølgeligt have lov til at gøre det. Derfor skal man aldrig gemme det sanitized input i databasen eller lignende, da man så skal huske at unescape det hele igen osv.

I stedet for at escape hele lortet og sanitize alt, skal man bruge prepared statements osv. til at sørge for, ens kode bliver kørt som det skal. En bruger må derfor gerne hedde
Kode:
';DROP TABLE mybb_users;
eller whatever. Såvel som han må hedde
Kode:
<h1>whatever </h1>
, bare man husker at escape det inden man outputter det, med htmlentities() osv.

Giver det ikke mening?

Du har sikkert ret, min hjerne har jo vænnet sig til mysql_query's. Med prepared statements har det jo ikke den store betydning om man får fixet inputtet inden det bliver sendt til databasen, men i "gamle dage" var det jo noget helt andet.
Jeg beklager min tilvænnede mysql-stil Indifferent
...trolling nets since 2013
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 19:23
#19
RE: [PHP] Login sha
(07-05-2016, 19:19)s0x Skrev: Du har sikkert ret, min hjerne har jo vænnet sig til mysql_query's. Med prepared statements har det jo ikke den store betydning om man får fixet inputtet inden det bliver sendt til databasen, men i "gamle dage" var det jo noget helt andet.
Jeg beklager min tilvænnede mysql-stil Indifferent

Det er sådan de fleste tænke ja Tongue Hvis du nu fx sanitizede input og alle ' osv. blev til \' osv. i databasen, ville en tredjepart få svært ved at de-sanitize det perfekt, med mindre det er i samme sprog. Hvis du fx først kører htmlentities() på dit input, ville du få en masse &lt; og &gt; i stedet for < og >. Hvis du gemmer det i databasen, skal du derefter køre html_entity_decode() i PHP (hvis du skal læse det 100% som det blev inputtet) eller finde en anden metode i et andet sprog. Sådan skal det jo ikke være Happy
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-05-2016, 22:21 (Denne besked var sidst ændret: 07-05-2016, 23:34 af Henta24.)
#20
RE: [PHP] Login sha
Hmmm. Nu er jeg ikke så hardcore. Har ikke lavet så meget login og registrering m.m. Tror bare jeg bliver nødt til at finde et eksempel på nettet og bruge dette frem for mit eget :)

Fik tjekket filen. Det er sha1.. Hmmm..

Kode:
$post_accountname = mysqli_real_escape_string($mysql_connect, trim(strtoupper($_POST["accountname"])));
$post_password = mysqli_real_escape_string($mysql_connect, trim(strtoupper($_POST["password"])));
$post_password_final = mysqli_real_escape_string($mysql_connect, SHA1("".$post_accountname.":".$post_password.""));
$post_password2 = trim(strtoupper($_POST["password2"]));
$post_email = mysqli_real_escape_string($mysql_connect, trim($_POST["email"]));
$post_expansion = mysqli_real_escape_string($mysql_connect, trim($_POST["expansion"]));

Det er sha1, men det vil ikke gå igennem??

Tilføjelse. Prøvede at skrive admins:admins og der ville den godt gå igennem, men jeg ved at passworded til selve game serveren er username: admins  password: admins

Kan se at der skrives både accountname + password sammen i username:password
$post_password_final = mysqli_real_escape_string($mysql_connect, SHA1("".$post_accountname.":".$post_password.""));
Explore the world we must
Time's just to short for the best of us
Before death comes
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)