Mintha itt találtam volna egy leírást arról, hogy nem nagyon szabad így megoldani. Viszont hash+besózás egy jó megoldás szerintem, vagy legalábbis amiket én eddig olvastam.

Majd a user által megadott jelszót is ugyanezzel a módszerrel és megnézed, hogy a user által megadott és a db-ben lévő változat egyezik-e, ha igen akkor kap egy kekszet a felhasználó.

[ Szerkesztve ]

"Akinek elég bátorsága és türelme van ahhoz, hogy egész életében a sötétségbe nézzen, elsőként fogja meglátni benne a fény felvillanását." - Kán

Amúgy érdekes, mert most utána néztem, és most ezt tartják biztonságosnak, már nem nagyon terjesztik az md5-ös belépő rendszereket cookie-val ...
Amikor én kezdtem még régen akkor az volt a favorit, igaz hogy nem webshop és fórum oldalakkal foglalkozom.

Mellesleg most megnéztem és most jó a password_hash().

Nem tudom mi folyik itt.

Szaisztok php programozot keresek majdnem késsz oldalhoz olyan ermberke vegyen fel facera vagy skypera aki ért hozzá és van szabad ideje torrent oldalhoz keresek fejlesztőt ha van ilyen irjon skypen vagy facebookon itt nem mindig vagyok fent elöre is köszönöm további részleteket skype vagy face az

skype: nanonet5

face: https://www.facebook.com/profile.php?id=100007324275230

[ Szerkesztve ]

"Nem tudom mi folyik itt."
Igazából ebből a leírásodból ember legyen a talpán, aki megérti, miről beszélsz, hogyan is tesztelted, úgyhogy mi sem tudjuk, mi folyik nálad.

==========================

(#16554) mrpiko :
Egy ilyen igénytelenül összeb@szott "álláshirdetésre" ne várd, hogy értelmes ember jelentkezzen. Nem túl jó ómen, ha még egy becsábító üzenet megfogalmazásába sem vagy hajlandó fektetni 30 másodpercnél többet, és még egy vesszőt sem vagy képes használni a tagmondataid elválasztásához.

Sk8erPeter

Igazából egy regisztrációhoz kell, de a Wamp meg folyton Undefined Index-ezik, ezért van rajta az !empty ...

Egy tök alap regisztráció.
Csak az a baj hogy valamiért a 60 karakter helyett 63 lett, de most megnézem egy rendes linux alatt ...

[ Szerkesztve ]

"Így írtam bele.
echo password_hash($_POST["password"], PASSWORD_DEFAULT);
Alapból így van megadva amúgy:
$password = !empty($_POST["password"]) ? $_POST["password"] : '';
Azt hittem hogy valami baja lesz az empty-vel, de nem ..."
Már kapásból ennek a pár sorodnak sincs értelme. Ellenőrzöd a kulcs meglétét, átadod a tömbben ezalatt található értéket egy változónak, csak azt a változót ($password) nem használod fel a password_hash()-nél... ezért mondom, hogy ember legyen a talpán, aki érti a gondolatmenetedet. Egyébként meg nyilván ellenőrizni kell egy kulcs/változó meglétét, mielőtt felhasználod, nem tudom, mit kell csodálkozni az Undefined index-szel kapcsolatos Notice-on.

Sk8erPeter

Azért írtam bele hogy $_POST["password"] mert a password_hash valahogy 63 karakter lett, a 60 helyet!!!

És ezért próbáltam meg a POST-al nem pedig az $password-al, remélem világos hogy miért az van ott.

Jó, és mivel ellenőrizted, hogy valóban 63 karakter lett? Mikor lett annyi, adatbázisba való feltöltés után, vagy még az alkalmazás "szintjén"? Az a baj, hogy csomószor harapófogóval kell kiszedni belőled az érdemi, nem mellébeszélő infókat, még sokszor így sem sikerül, és így az embernek csomószor elmegy a kedve a segítéstől.

Sk8erPeter

Kiírattam a takelogin-ban és nyomtam egy CTRL+A-t, és beraktam egy Notepad++-ba ami kiírja hogy hány chars pontosan.

Utána megnéztem a password_verifiy-vel is, biztos ami biztos és mivel false lett így.

"Kiírattam a takelogin-ban és nyomtam egy CTRL+A-t, és beraktam egy Notepad++-ba ami kiírja hogy hány chars pontosan."
Atyaég... stringhossz-visszaadó függvényekről hallottál már?

Sk8erPeter

Nem, a legjobb ha az ember inkább nem is olvassa a PHP topikot (hiszen a való életben valóban találkozik ilyen esetekkel ne higgyétek, hogy egy rakás PHP programozó, aki ugyan nem ír ide, egy pindurit is magasabb szinten van az itt kérdezőktől ), és csak akkor jön ide olvasni, amikor privátban megkapja az aktuális új gyöngyszemet

Én kérek elnézést!

Hali.

Ujra itt vagyok XD.

Egy ideje tanulgatom a php nyelvet is, es lassan majd szeretnek hozzafogni a login megirasahoz.

Az lenne a kerdesem hogy egy mukodokepes login kod megirasahoz szugsegem lesz -e meg masra is, vagy tenyleg "csak" annyibol all hogy megirom az ehez szugseges kodot, es az oldalammal egyutt feltoltom a web tarhelyre?

Pl en hallottam valahol olyat is hogy szugseg lehet Mysql-re is, (en pedig azt sem tudom hogy az pontosan mi is lehet).

Szoval sajnos egy kicsit ossze vagyok zavarodva, es azt szeretnem megtudni hogy ha kesz van a weboldalam, es a logint is sikerul majd megirnom php segitsegevel, akkor az egeszet csak siman fel kell toltenem, vagy lesz- e meg valami mas dolgom is mielott utjara engedem.

XD alias IKSZDé

1. szükség

2. adatbázis nélkül sokra mész egy login folyamatnál..

Pontosan azert kerdeztem, mert nem igazan vagyok kepben.

XD alias IKSZDé

"szugseg lehet Mysql-re is"
Igen, ez elképzelhető. Annyival kiegészíteném, hogy nem lehet, hanem 100%, hogy szükséged lesz valamilyen adatbázisra (pl mysql). Egyébként igen, megírod, feltöltöd, megy. Ennyi.

Szerk: lemaradtam megin'.

(#16574) Sk8erPeter

[ Szerkesztve ]

but without you, my life is incomplete, my days are absolutely gray

de mivel nem vagy képben? ha logikusan végiggondolod a folyamatot, nem írsz ilyet. mondom ezt programozási ismereteket figyelmen kívül hagyva, ugyanis tök mindegy milyen nyelven írod php, java, asp.net, a login részt, ha nincs adatbázis ahonnan lekérdezd a felhasználók adatait egy bejelentkezéshez, akkor mit ellenőrzöl ha beírja, az e-mail címét, és egy jelszót?
egy átlag user is tudja, gondolja, hogy ha facebookra regisztrál, az vhol tárolva van, és ha bejelentkezik, és kiírja hogy elírta a jelszót, akkor azt vhogy, vhonnan ellenőrzi a rendszer.

egyébként én egy regisztrációs folyamattal kezdeném, mert amíg ez nincs csak előre "gyártott" felhasználók tudnak bejelentkezni az oldaladra.

[ Szerkesztve ]

Na igen, sorry a hibakert es azert is hogy hulyen fogalmaztam meg a kerdesemet.
De nem aludtam mar meglehetosen regen, es elegge faradt vagyok.

DS39 igen en is gondoltam, csak en ugy kepzeltem el hogy ez is a weblap tarhelyen van tÁrolva.

DNReNTi szinten koszi.

[ Szerkesztve ]

XD alias IKSZDé

hát ott van/lesz tárolva. viszont előtte lokálisan kell megcsinálni, a wampserverben pl., majd azt csak be kell importálni a webtárhely adatbázis-kezelőjébe.

[ Szerkesztve ]

Lehet mondjuk egy txt fájlban is. Felhasznalonev.txt benne a jelszoval. Ha a beirt felhasznalonevre nincs fajl akkor nincs ilyen felhasznalo, ha van akkor megnezi egyezik e a jelszo. Tessek, adatbazis problema elharitva.

Nehogy valaki komolyan vegye....

but without you, my life is incomplete, my days are absolutely gray

Nekem csak annyi kérdésem lenne, hogy a böngésződben nincs olyan modul beépítve (gyárilag minden böngészőben van), hogy egy hatalmas piros hullámos vonallal aláhúzza úgy kb az egész mondatod?

Szerintem amúgy nem fektetsz elég időt a problémák kiküszöbölésére (én is itt tanultam meg). Ajánlatos egy pár órát végig szenvedni, hogy te találd meg a hibáidat, és ne egyből segítségért szaladni. Ilyenkor olyan dolgokat is megtanulhatsz amikre nem is számítanál. PHP manapság aligha létezik MySQL nélkül szóval ajánlatos nekifeküdni annak is és egy olyan könyvből/blogról/stb. tanulni ezt ami együtt tanítja őket.

(#16579) DNReNTi
Szerintem elég rossz megoldás lenne ez mert tfh. van 100.000 felhasználom. Ameddig a .txt állományban tárolt felhasználónév jelszó és mindezek egymás alatt a Ctrl+F-el kereshető ezzel szemben a te módszered.... Szerencséd, hogy odaírtad.....

[ Szerkesztve ]

"Akinek elég bátorsága és türelme van ahhoz, hogy egész életében a sötétségbe nézzen, elsőként fogja meglátni benne a fény felvillanását." - Kán

Abban amit mondasz, van valami igazsag.

XD alias IKSZDé

Jolvanna.

Egy dolgot meg hadd kerdezzek meg.

Most tanulmanyozom a phpmyadmin oldalat ( localhost/phpmyadmin) parancsal ertem el.

es furcsallom hogy nem kell regisztralni, ( hozzateszem nincs is "regisztracio") menupont.
Szoval regisztracio nelkul is letre lehet hozni az adatbazist, es ahogy elnezem minden mast is meg lehet csinalni.

Tehat a kerdesem hogy van -e valami hivatalos oldaluk, ahova erdemes regisztralni a biztonsag kedveert.

[ Szerkesztve ]

XD alias IKSZDé

NIncs, mert a phpmyadmint mikor telepíted meg kell adod az admin jelszavát.

「시작이 반이다」

Koszi koszi

cubix ahha, hat akkor nekem valami kimaradt, mert sehol nem adtam meg egyetlen jelszot sem. ( de vegul is mindegy, mert mukodik minden) koszi

[ Szerkesztve ]

XD alias IKSZDé

Úgy néz ki a dolog, hogy gondolom fent van egy XAMPP a gépeden. Feltehetőleg indítottál rajta egy Apache webszervert és egy MySQL adatbázist. Nekünk most a második a fontos. Amit megtaláltál phpmyadmin kezelőfelületet, az grafikusan segít elérni a MySQL adatbázist. Kapaszkodj meg, akár a windows command ablakban is el tudnád érni a MySQL adatbázisod!

Localhoston alapból root a felhasználónév, és nincs jelszó. De például ha bérelsz majd webszervert, akkor ott le fogják írni, hogy milyen módon tudod elérni a saját phpmyadminod, ahol pl. tudsz új adatbázist létrehozni az oldalad mögé.

Hmm .

Koszi a segitseget, tenyleg fogalmam nem volt rola.

Egyebkent nem a Xampp van fent , hanem a wampserver. De ez nem valtoztat semmin.

Na es tenyleg sorry a sok hulye kerdesert, csak az a baj hogy meglehetosen erdekel a dolog es hat na.

[ Szerkesztve ]

XD alias IKSZDé

Jo mondjuk igy visszaolvasva nehany kerdesemet, haaat mar banom hogy nem gondoltam meg haromszor hogy mit is akarok kerdezni.

XD alias IKSZDé

Ti szoktátok vizsgálni a POST-ból származó adatokat akkor is hogyha egy felhasználó belép, vagy csak akkor hogyha regisztrál?

Elgondolkodtam rajta, lehet hogy jobb szűrni az engedélyezett karaktereket, például csak angol abc és 0-9-ig számok lehetnek benne.

Szerintem ez így célszerűbb, mert ha valaki inject-el, akkor itt már elbukik, vélemény?

Minden beviteli mezőt védj le. Lehetőleg kliens oldalon is, a szerver szerintem kötelező.

Mint ahogy már előttem Zedz leírta, minden mezőt ellenőrizni kell szerver oldalon.

"Szerintem ez így célszerűbb, mert ha valaki inject-el, akkor itt már elbukik, vélemény?"
Mán úgy érted SQL Injection? Prepared Statements?

(#16593) CSorBA
Remélem. Olyan jól fogalmaz.

[ Szerkesztve ]

but without you, my life is incomplete, my days are absolutely gray

Egy kérdésem lenne.
Az a lényeg hogy a hiba üzeneteket csak die()-al szeretném megoldani, nem szeretnék olyant hogy behívja a header-t is meg minden egyebet, csak a die simán ...

Na most, az a baj hogyha nem látja az oldal a header-ben lévő <meta charset="utf-8">-at akkor pedig már karakter hibás lesz.
A php fájlokat UTF-8 BOM nélküliben írom, nem tudom hogy tudnám megoldani.
De a header-t nem szeretném megjeleníteni (tehát fejléc, kinézet, stb.).

[ Szerkesztve ]

Ez nem header, hanem egy HTML meta tag: <meta charset="utf-8">

Ha a feldolgozás előtt (még mielőtt bármi történne az alkalmazásban) meghívod ezt, akkor nem lesz gond:
header('Content-Type: text/html; charset=utf-8');

Ezzel tényleg HTTP header-t küldesz ki.