PHP: Warum funktioniert das Login-Script mit 'password_verify' nicht?

Hallo an alle!

Ich habe ein Problem mit diesem Login-Skript. Es funktioniert einfach nicht, wenn ich das Passwort (password_hash()) mit password_verify überprüfen will. Ich habe schon alles mögliche, wie z.B. die DB-Verbindung und die SQL-Abfrage und das HTML-Formular geprüft, sowie gegoogelt, aber nichts passendes gefunden.

Kann mir jemand von euch sagen, weshalb der Login-Vorgang nicht funktioniert und immer das letzte else (E-Mail oder Passwort war falsch...) ausgegeben wird?

Code: https://pastebin.com/AG79v9Te

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

regex9

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, programmieren, MySQL

24.11.2018, 02:03

Zuerst einmal sind mir ein paar Fehler/Punkte aufgefallen, die du auf jeden Fall korrigieren solltest:

1) Dein Doctype ist unvollständig, das Ausrufezeichen fehlt.

<!doctype html>

2) Beende dein Skript stets nach einer header-Weiterleitung. Andernfalls wird dieses vom Server möglicherweise noch weiter ausgeführt, auch wenn der Nutzer davon nichts mehr mitbekommt.

header('Location: /dashboard');
exit;

3) Du schreibst im Fehlerfall (deaktiviertes Konto) HTML außerhalb der HTML-Struktur und erzeugst somit invalides Markup.

// ...
elseif ($user !== false && $status == 0 && password_verify($passwort, $user['passwort'])) {
  echo // ...
}
// ...

Beim else machst du es in der Hinsicht bereits besser. Jedoch würde ich generell mehr zwischen Markup und Skript trennen.

$userDeactivated = false;
$wrongInput = false;
// ...
elseif (/* ... */) {
  $userDeactivated = true;
}
else {
  $wrongInput = true;
}
// ...

<!--markup -->
<?php if ($userDeactivated): ?>
  <div class='konto-deaktiv-meldung'>ACHTUNG: <!-- ... -->
<?php endif; ?>
<!-- ... -->
<?php if ($wrongInput): ?>
  <div class='error-message'>E-Mail <!-- ... -->
<?php endif; ?>

Die Maskierung (einfache Anführungszeichen) ist dann nicht mehr notwendig.

Was du noch ändern könntest:

1) Der Methode fetch kannst du noch ein Argument zum fetch style übergeben. Standardmäßig wird das ResultSet als Array geliefert, welches Zugriff auf seine Elemente via Index oder Key erlaubt. Da du aber eh nur den Key verwendest, reicht PDO::FETCH_ASSOC.

2) Wieso nutzt du denn beim Wertvergleich für $status keinen strikten Vergleich? Es ist jetzt nicht so wichtig, doch hat es einen bestimmten Grund?

if ($user !== false && $status == 1 && password_verify($passwort, $user['passwort']))

3) Der Code-Block mitsamt der folgenden leeren Anweisung ist nicht nötig.

{
  header('Location: /dashboard');
};

4) Wo verwendest du $errorMessage eigentlich?

5) Welche Werte kann die Variable $status denn annehmen? Nur 0 und 1? Dann ließe sich die Überprüfung des Passworts vereinfachen:

if ($user !== false && password_verify($passwort, $user['passwort'])) {
  if ($status == 1) {
    // ...
  }
  else {
    // ...
  }
}
else {
  // ...
}

Zu deinem Problem:

Speicherst du denn den Hash-Wert des Passworts in der Datenbank?
Wieso stehen Logindaten in einer SQL-Tabelle kunden_mailverteiler? Zumindest der Name der Tabelle erscheint mir etwas unpassend.
Lasse dir vor der Passwortprüfung folgende Werte ausgeben:

$user
$status
$passwort
$user['passwort']

Verwende die Funktion var_export, um den Wert eines boolean auszugeben. Andernfalls führt PHP einen impliziten Typecast um, der nicht in deinem Interesse liegt.

Anhand der Daten kannst du schon einmal prüfen, ob es wirklich an password_verify liegt. Wenn die Hashes tatsächlich unterschiedlich sein sollten, kämen spontan drei Möglichkeiten in Betracht:

Den Nutzer gibt es mehr als einmal.
Deine Systeme (Datenbank, Markup, PHP) arbeiten nicht mit dem selben Zeichensatz (UTF-8).
Du speicherst das Passwort einfach falsch ab.

christian99975

Beitragsersteller

24.11.2018, 11:11

Ich habe nun soweit die Fehler/Punkte behoben und noch ein, zwei Rückfragen zu den anderen Punkten von dir bei "Was du noch ändern könntest:".

Habe ich behoben und PDO::FETCH_ASSOC eingesetzt
Was meinst du genau mit einem 'strikten' Vergleich?
Warum ist dieser Block nicht nötig? Dort ist doch die Weiterleitung drin, die nach dem erfolgreichen Login auf den internen Bereich leiten soll. Oder hab ich einen Denkfehler?
Aktuell nirgends, außer in dem else .
$status kann nur 0 oder 1 sein. Habe die Abfrage wie bei dir umgebaut :)

Zu meinem Problem:

Der Hash-Wert wird so in der Datenbank gespeichert, JA.
Ich habe der Tabelle diesen Namen gegeben, da dort zwar quasi alles an Zugangsdaten des Users stehen aber eben auch hauptsächlich mail-details

Hab die Ausgabe testweise eingebaut und bin mir nicht sicher. Das eingegebene PW ist '123456' und der Hash eben ein Hash. Kann es daran liegen? Muss ich das eingegebene PW erst in einen Hash umwandeln, um ihn mit dem Hash aus der DB abzugleichen (um dann password_verify nutzen zu können)?

Die Datebank ist auf die Kollation 'utf8_unicode_ci' eingestellt und die Datei eben auf 'UTF-8'.

Das Passwort speichere ich so in die DB ein:

' $passwort = $_POST['passwort']; '
' $passwort_hash = password_hash($passwort, PASSWORD_DEFAULT)';
und eben mit einem normalen insert :-D

Vielen vielen Dank schon einmal für deine Hilfe! :)

regex9

24.11.2018, 15:04

@christian99975

Was meinst du genau mit einem 'strikten' Vergleich?

In PHP kann man entweder via == auf Gleichheit prüfen (dabei werden Typumwandlungen implizit von PHP durchgeführt) oder via ===, ob die Werte identisch sind (gleicher Wert, gleicher Datentyp). Letzterer wird auch als strikter Vergleich bezeichnet. Siehe dazu auch hier.

Warum ist dieser Block nicht nötig?

Da war ich unachtsam beim Formulieren und Aufzeigen. Den Aufruf der header-Funktion behältst du, den Block drumherum (bzw. die geschweiften Klammern) mitsamt Semikolon kannst du herausnehmen.

Muss ich das eingegebene PW erst in einen Hash umwandeln (...)

Aja, das Wichtigste vergessen: Für den Test ja. Lasse dir den Wert von

password_hash($passwort, PASSWORD_DEFAULT)';

ausgeben. Dann kannst du manuell einmal prüfen, ob die Hashes gleich sind oder nicht.

Was sagen dir indes die anderen Werte? Wird password_verify überhaupt aufgerufen, oder ist der Nutzer ($user) bspw. bereits false?

Für die spätere Überprüfung in password_verify ist keine Umwandlung in einen Hash notwendig. Dies macht die Funktion schon selbst. Siehe dazu auch hier (und noch ein Beispiel für die Vorgehensweise, die du auch bereits nutzt).

christian99975

Beitragsersteller

24.11.2018, 16:02

@regex9

Super! Danke für die Erklärung. Die Hashes sind tatsächlich unterschiedlich, obwohl das Passwort dahinter gleich ist. Wie kann das sein? Habe es jetzt sogar mal mit dem eingegebenen Hash getestet aber dann habe ich wieder unterschiedliche Werte vom Hash. O_o

regex9

24.11.2018, 17:37

@christian99975

Ich gehe davon aus, dass der Hash noch falsch gespeichert wird.

Haben die Hashes die gleiche Länge?
Geh am besten einmal in das Registrierungsskript und lasse dir eingegebenes Passwort und gebildeten Hash ausgeben. Vergleiche diesen dann mit dem Hash, der in der Datenbank steht (bestenfalls direkt, z.B. über phpMyAdmin).
Wie viele Nutzer findet die Datenbank zu der E-Mail-Adresse, die du eingibst?

christian99975

Beitragsersteller

24.11.2018, 18:20

@regex9

Oh weia...

Der Hash vom eingegebenen Passwort ist nicht der selbe, wie er in die Datenbank geschrieben wird. :/

Pro E-Mail-Adresse gibts nur einen Nutzer.

regex9

24.11.2018, 18:29

@christian99975

Na dann sind wir dem Problem doch schon mal recht nah.

Hat die Spalte in der Datenbanktabelle den Datentyp VARCHAR (oder meinetwegen TEXT)?
Gibt es Beschränkungen in der inhaltlichen Länge der Spalte? VARCHAR(255) sollte ausreichend sein. Ob es Probleme in der Länge gibt ist auch daran erkennbar, ob der Hash nach dem Speichern in der DB plötzlich kürzer ist oder nicht.
Welcher Zeichensatz ist für die Spalte gesetzt? Ebenso UTF-8? Ich gehe nicht davon aus, dass dies der Fehler ist, doch zur Sicherheit kann man das ruhig einmal mit prüfen.

Poste des Weiteren einmal den Code für dein Login via pastebin. Bereits der Query kann doch noch Fehler aufweisen.

christian99975

Beitragsersteller

25.11.2018, 08:43

@regex9

Die DB-Spalte ist ein varchar mir 255 Zeichen für den Inhalt und ebenso auf utf8_unicode_ci eingestellt.

Ich denke mal du meintest das Registrierungs-Script statt dem Login... :)

Hier wäre es dann: https://pastebin.com/7fV2FWTE

regex9

25.11.2018, 14:38

@christian99975

Stimmt genau, gut mitgedacht.

Beim oberflächlichen Drüberschauen sind mir nochmal Fehler aufgefallen und wahrscheinlich auch die Fehlerquelle. Deine Webseite solltest du am besten via Validator nochmal prüfen. Gerade bei Login/Registrierung u.ä. ist das wichtig.

Die Funktion session_start wird mehrmals aufgerufen. Einmal sollte es ausreichen und dann als allererste Aktion, mindestens vor jeglichem Response.
Der erste PHP-Abschnitt gibt unter Umständen ein div-Element aus, außerhalb des body-Elements.
Der style-Tag gehört in das head-Element.
Insgesamt ist die allgemeine HTML-Struktur etwas verquer. Du rufst anfangs eine Funktion get_header auf, dem folgt der jQuery-Include und ein body, danach startest du mit dem Doctype das eigentliche Dokument. Das solltest du dir unbedingt noch einmal genauer anschauen und korrigieren.
Als Zeichensatz gibst du im meta-Element ISO-8859-1 an. Ändere das auf utf-8. Generell würde ich den Tag auf HTML5-Stand bringen:

<meta charset="utf-8" />

Beim Aufbau des PDO-Objekts und der DB-Verbindung setzt du den SQL-Mode NO_ENGINE_SUBSTITUTION. Das ist aber gar nicht notwendig, denn dieser ist standardmäßig bereits aktiviert (https://dev.mysql.com/doc/refman/8.0/en/sql-mode.html#sqlmode_no_engine_substitution).

christian99975

Beitragsersteller

26.11.2018, 17:59

@regex9

Ok super. Habe mir jeden Punkt angesehen und es dem entsprechend umgebaut. Komisch ist nun aber, da der Hast nun noch unterschiedlich zur Eingabe und beide unterschiedlich lang ist. Hast du noch eine Idee? :/

regex9

26.11.2018, 18:19

@christian99975

Er wird immer noch falsch gespeichert? Wird der Hash stets an der gleichen Stelle abgeschnitten (prüfe mit Notepad++, dort wird in der Statusleiste die Zeichen- bzw. Spaltenanzahl angezeigt)?

Bitte schicke mir nochmals den aktuellen Stand des Registrierungsskriptes und prüfe in dem Zuge, ob die PHP-Datei selbst im UTF-8 Format gespeichert wurde.

Des Weiteren wäre es gut, wenn ein Beispielpasswort mit gebildetem Hash und in der DB gespeicherten Hash posten könntest. Vielleicht lässt sich dabei etwas ablesen.

christian99975

Beitragsersteller

01.12.2018, 17:40

@regex9

Tut mir leid für die späte Antwort :(

Hier der Link zum aktuellen Registrierungsskript: https://pastebin.com/k1wHACkP Bei mir steht alles auf UTF-8...

Beispiele

PW-User-Eingabe: 123456aA

PW-Hash-Formular: $2y$10$NGMpJNbwLoF7nj2ZsuEFle8Zx6b8FPtDaOG2EDJPsm.4MabZjs/tu

PW-Hash nach dem Registrieren aus der DB:$2y$10$NGMpJNbwLoF7nj2ZsuEFle8Zx6b8FPtDaOG2EDJPsm.4MabZjs/tu

PW-Hash-LOGIN-Form (EINGABE):
$2y$10$4HkMW8JOPvZu9NR/U.5/.e5PrmVPyKz/74OXrSCFiwOMmHv4CkcpK

PW-Hash-LOGIN-FORM (ABFRAGE AUS DER DB):
$2y$10$NGMpJNbwLoF7nj2ZsuEFle8Zx6b8FPtDaOG2EDJPsm.4MabZjs/tu

regex9

02.12.2018, 05:13

@christian99975

Ok, dieses Testergebnis wiederum sagt uns, dass die Registrierung ganz fantastisch läuft. 😁

Ich konnte das Problem anhand des Logins (aus deinem ersten Link oben) und dem Registrierungsformular (von deinem letzten Kommentar) reproduzieren. Danach habe ich begonnen, beide umzuschreiben, so wie ich es auch z.T. schon empfohlen hatte + weiteren Änderungen (ich gehe noch darauf ein).

Zum Testen habe ich allerdings keine Datenbank verwendet, sondern einfach nur eine Textdatei, in der nur das Passwort zwischengespeichert wurde. Ich poste zwei Versionen des Endresultats.

Der Stand, wie er mit DB aussehen sollte:

Der Stand, den ich zum Testen verwendet habe (ich habe die dafür notwendigen Änderungen mit einem //MOCK-Kommentar ausgestattet):

Bei mir waren die Teststände zuletzt erfolgreich. Ich habe nochmals den Zeichensatz in beiden Dokumenten explizit gesetzt.

Wie das halt so ist, sind mir in dem Zuge einmal wieder Punkte aufgefallen, die man besser machen kann. Einige Punkte habe ich da auch schon direkt umgesetzt (beim Registrierungsformular).

Ich habe das CSS in eine eigene Datei ausgelagert.
Bei 2-3 Styles hast du ein Leerzeichen zwischen zwei Zahlen vergessen, ich denke es war beim margin für die select-Elemente.
Ist !important wirklich in jedem Fall notwendig? Dies würde ich erst einmal anzweifeln.
Oft arbeitest du noch mit br-Elementen. Ich habe die Formularfelder stattdessen in eigene Boxen gepackt, die Beschriftung wird mit label-Elementen umrahmt, die auf das jeweilige Formularfeld referenziert. Via CSS bekommen die Boxen einen Abstand von ca. 15px nach oben.
Die Datenschutzerklärung habe ich über den Senden-Button positioniert, da der Lesefluss von oben nach unten geht.
Ich habe den Feldnamen durchweg englische Bezeichner gegeben. Bisher war es ein Mix aus Deutsch und Englisch.
Mir ist aufgefallen, dass es einige Keys nicht gibt, die du aus dem $_POST-Array versuchst auszulesen: newsletter, nichtgelisteteregion, bereich, meldungsbereich. Ich habe sie vorerst auskommentiert.
Für deinen Aktivierungscode lässt du dir eine Zufallszahl generieren. Diese kann bis zu fünf Stellen einnehmen - muss sie aber nicht. Ich weiß nicht, wie wichtig der Code ist, doch solltest du dir überlegen, ob einstellige Codes, die ja auch vorkommen können, in Ordnung wären. Sicher wären sie jedenfalls nicht.
Bei dem Feld mit der ID suggest fehlte ein Leerzeichen zwischen Slash und required-Attribut.
Für deine Eingabefelder gibst du eine maximale Zeichenlänge von 250 Zeichen an. Ist das nicht ein bisschen viel? Es ist nun nicht dramatisch, doch es hat mich verwundert.
Bei dem Eingabefeld für den Nutzernamen würde ich die Beschriftung (Nur Vorname oder Nutzername?) überdenken. Zudem hast du dich beim title-Attribut verschrieben (titel), das habe ich korrigiert.
Das Eingabefeld für den Meldungsbereich hatte sein name-Attribut doppelt definiert.
Bei dem JavaScript würde ich vorsichtig sein, wenn es darum geht, anhand von Sonderzeichen Strings zu splitten. Das kann Probleme bei der Textkodierung machen.
In der E-Mail setzt du einen Link und darin einen Button. Da dies zwei eigenständige Aktionselemente sind, dürfen sie nicht ineinander verschachtelt werden. Ich habe vorerst den Button entfernt und seine Inline-Styles an das Anchorelement übertragen. Möglicherweise muss da nochmal weiteres Styling vorgenommen werden.
Was die head.php beinhaltet, müsstest du nochmal bei dir abgleichen. Ich habe an der Stelle bisher nur einen HTML-Kommentar gemacht.

christian99975

Beitragsersteller

08.12.2018, 15:49

@regex9

Vielen Dank. Ich schaue mir das an und versuche es zu übernehmen. Aktuell habe ich dadurch einige PHP-Fehler und bin dabei diese zu beheben. :)

christian99975

Beitragsersteller

08.12.2018, 15:53

@christian99975

Habe schon mehrere behoben, die z.B. durch fehlende Klammern entstanden sind und nun sitze ich vor diesem Fehler "Uncaught Error: Call to a member function prepare() on null" in Zeile 17 deiner register.php. Das ist die Select-Abfrage der function alreadyRegistered.

regex9

08.12.2018, 16:43

@christian99975

In Zeile 79 habe ich aufgrund eines Kommentars eine Klammer nicht geschlossen (ebenso fehlt dann das Semikolon nach der Anweisung). Das ist der einzige Syntaxfehler. Such zudem nach den zwei Vorkommen von //TODO im Quelltext - in meiner Liste hatte ich zu region, etc. geschrieben, die ich vorerst auskommentiert hatte.

Bezüglich deines null-Fehlers: Ergänze die Funktionen, die $pdo nutzen (register, alreadyRegistered), um einen Parameter $pdo.

function alreadyRegistered($mail, $pdo) { // ...

In den Fällen, in denen sie aufgerufen werden, muss die Variable $pdo übergeben werden (Zeile 64, 84).

christian99975

Beitragsersteller

08.12.2018, 23:53

@regex9

Oh gott, ja stimmt. Nun scheint das Skript zu laufen. Allerdings nur bis zum else von "if (register($userData, $pdo))" Es wird also ausgegeben das ein Fehler aufgetreten ist. Das werde ich mir nun aber erst morgen anschauen... :)

regex9

09.12.2018, 01:37

@christian99975

Ändere diese Zeile:

return $statement->execute(array($data));

zu:

return $statement->execute($data);

christian99975

Beitragsersteller

10.12.2018, 12:55

@regex9

Daran lag es leider nicht. Ich muss aber jetzt erst mal wiede re an die Arbeit...

Kieselsaeure

Nutzer, der sehr aktiv auf gutefrage ist

im Thema programmieren

23.11.2018, 20:34

Ist das alles? Du hast dich ja noch gar kein PDO Objekt.

Desweiteren solltest du im query sicherheitshalber noch ein "LIMIT 1" anhängen.

regex9

24.11.2018, 02:10

Der FS holt sich mit einem einzelnen fetch nur einen Eintrag aus dem ResultSet, dies ist dir möglicherweise entgangen. Ob dieses einen Eintrag beinhaltet oder mehrere, macht daher logisch betrachtet keinen Unterschied. Sinnvoll wäre ein Begrenzung, wenn eine E-Mail-Adresse für mehrere Accounts erlaubt wäre. Dann jedoch wäre die Logik des Login deutlich zu hinterfragen, denn die fußt bisher auf der Annahme, dass jede E-Mail-Adresse nur einmal vorkommt.

christian99975

Beitragsersteller

23.11.2018, 21:05

Die DB-Verbindung ist da, hatte Sie nur nicht mit eingeschrieben, da die Zeichen hier begrenzt sind. Nun aber...: https://pastebin.com/AG79v9Te

Kieselsaeure

23.11.2018, 20:35

Ps: keine Ahnung ob der GF Editor die Formatierung versaut hat aber es wäre nett wenn du das nochmal ordentlich formatiert mit syntax highlighting auf pastebin.org hochlädst. Zumindest mit dem Handy blickt man nur schwer durch.

Ähnliche Beiträge

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zum Beitrag

Ist dieser Code Safe?

Hallo, ich programmiere derzeit ein Login System in Unity mit PHP wollte fragen ob der Code Safe ist LG

    $email = $_POST["email"];
    $password = $_POST["password"];


    // Daten aus der Datenbank abrufen
    $sql = "SELECT * FROM users WHERE email = '$email'";
    $result = $conn->query($sql);


    if ($result->num_rows > 0) {


        $row = $result->fetch_assoc();


        $hashedPassword = $row["password"];
        
        if (password_verify($password, $hashedPassword)) {
            $errors[] = "0"; // Erfolgscode für erfolgreichen Login
        } else {
            $errors[] = "401"; // Fehlercode für ungültige Anmeldeinformationen
        }
    }else{
        $errors[] = "303";
    }

...zum Beitrag

Wie programmiert man einen Website-Login mit PHP?

Hallo,

ich bin schon seit längerem auf der Suche nach einem funktionierendem Login für meine Website. Ich habe bis jetzt aber noch nichts gefunden, was funktioniert hat. Ich habe mir auch schon einen SQL Server erstellt und SQL Server Management Studio installiert.

Ich weiß auch, dass ich dafür PHP brauche. Brauche ich dann einen PHP Server?

Ich wäre sehr dankbar darüber wenn mir jemand erklären könnte wie das geht und am besten eine funktionierendes Login Script mitliefert.

Danke im Voraus:-).

...zum Beitrag

Echo-Ausgabe mit CSS formatieren?

Hey,

ich möchte eine echo-Ausgabe mit CSS formatieren.

An sich funktioniert es auch, also Textgröße und Farbe ändern geht.

Jedoch wenn ich die Position mit z.B. text-align: center; mache, dann bleibt es trotzdem oben links in der Ecke kleben.

PHP-Teil:

if ($user !== false && password_verify($passwort, $user['passwort'])) {
  $_SESSION['userid'] = $user['id'];
  die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
}
else {
  $errorMessage = "<a class='Error'>E-Mail oder Passwort war ungültig<br></a>";
}

CSS-Teil:

.Error {
  font-size: 20px;
  color: black;
}

...zum Beitrag

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zum Beitrag

Hi ich habe ein sign up und login system für eine website mithilfe von xamp, mysqli und php gebaut, dass signup system mit error messages und allem funktioniert auch, aber das login system nicht. Wenn ich mich versuche einzuloggen passiert nichts und wenn ich absichtlich falsche login daten eingebe passiert ebenfalls nichts. Ich weiß nicht woran das liegt und bräuchte echt hilfe. Wenn jemand meinen Code braucht einfach bescheid sagen :/

...zum Beitrag

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zum Beitrag

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zum Beitrag

Ich habe ein Login gebaut. Jenen sollen wir nun ausschließlich mit AJAX verbessern. (Wir dürfen dabei nicht sowas wie JQUERY verwenden. Das wissen fehlt uns aber dafür an meisten. Vielleicht kann jemand mir dabei helfen mein Login umzubauen und zu verstehen was ich mache.

Mein Login-Quelltext:

<?php
$pdo = new PDO('mysql:host=localhost;dbname=phptest', 'root', '');

if(isset($_GET['login'])) {
  $email = $_POST['Email'];
  $passwort = $_POST['Passwort'];

  $statement = $pdo->prepare("SELECT * FROM login WHERE Email = :Email");
  $result = $statement->execute(array('Email' => $email));
  $user = $statement->fetch();

  //Überprüfung des Passworts
  if ($user !== false && password_verify($passwort, $user['Passwort'])) {
    $_SESSION['userid'] = $user['ID'];
    die('Login erfolgreich. Weiter zu <a href="index.php?site=Startseite">internen Bereich</a>');
  } else {
    $errorMessage = "E-Mail oder Passwort war ungültig<br>";
  }

}
?>
<!DOCTYPE html>
<html>
<head>
  <title>Login</title>
</head>
<body>

<?php
if(isset($errorMessage)) {
  echo $errorMessage;
}
?>

<form action="Loginseite.php?login=1" method="post">
  E-Mail:<br>
  <input type="email" size="40" maxlength="250" name="Email" required><br><br>

  Dein Passwort:<br>
  <input type="password" size="40" maxlength="250" name="Passwort" required><br>

  <input type="submit" value="Login">
</form>
</body>
</html>

...zum Beitrag

PHP MySQL-Abfrage mit zwei Werten?

Hallo zusammen. Ich habe vorlaufend ein Login-Skript, was mir auf der "internen" Seite dann den Nutzernamen mit

$user = check_user();

Hallo <?php echo htmlentities($user['vorname']);

ausgibt, was auch funktioniert.

Jetzt möchte ich allerdings mit dem Nutzernamen weiterarbeiten und habe eine Abfrage, welche aus einem anderen Tabellenblatt der SQL den Match mit dem Vornamen suchen und den folgenden Wert dann natürlich ausgeben soll.

Aber irgendwie bin ich auf dem Holzweg, weil das nicht hinhaut.

Ich würde mich total über eine Hilfestellung freuen.

Danke.

Warning: Array to string conversion in

  // Create connection
  $conn = new mysqli($servername, $username, $password, $dbname);
  
  // Check connection
  if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
  }
  
  $sql = "SELECT versendet FROM obwacht WHERE ersteller like '$user'";
  $result = $conn->query($sql);
  
  if ($result->num_rows > 0) {
    // output data of each row
    while ($row = $result->fetch_assoc()) {
      echo "Versendet: " . $row["versendet"]. " - Name: " . $row["ersteller"]. "<br>";
    }
  }
  else {
    echo "0 results";
  }
  
  $conn->close();
?>

...zum Beitrag

php passwort überpüfung?

Guten Abend, ich habe eine Html Datei erstellt die eine Loginseite darstellt. Dazu habe ich eine PHP Datei erstellt die das Passwort abfragen soll. Aber wenn ich auf einloggen klicke wird mir nur der Code der PHP angezeigt. Also ich kann mich weder einlogen noch sagt mir die PHP ob das Passwort falsch ist. Was kann ich tun.

Der Html code:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Login</title>
<link rel="shortcut icon" type="image/x-icon" href="https://www.flaticon.com/premium-icon/icons/svg/2395/2395608.svg" />
<link rel="stylesheet" type="text/css" href="../CSS/global.css">
</head>
<style type="text/css"></style>
<body>
<div class="form-container">
<div id="benutzer-bild"></div>
<center><h2><b>Login</b></h2></center>
<form method="POST" action="loign.php">
Benutzername: <input type="text" name="user"/><br>
Passwort: <input type="password" name="password"/><br>
<input type="submit" value="Einloggen"/>
</form>
</div>
</body>
</html>
der PHP code:
<?php
$user = $_POST['user'];
$password = $_POST['password'];
if ($user=="Admin" && $password==Admin)
{
  header('location:startseite.html');
}
else
{
  echo "dfgdfgfdgdfgdfg";
}
?>

...zum Beitrag

php 2 sql befehle ausführen?

Ich suche nach einer Lösung, wie man bei einem php script zwei sql befehle ausführen kann. Bei mir führt er immer nur einen aus. Wenn ich beide Befehle drin stehen hab, führt er nur den 2. aus, aber ich hab probiert, wenn ich diesen auskommentiere, dann funktioniert der erste. Der erste funktioniert nur nicht, wenn der 2. nicht auskommentiert ist. Ich habe gegoogelt und gelesen, dass man nicht 2 sql Befehle ausführen kann, aber keine Lösung gefunden. Kann mir einer helfen?

...zum Beitrag

Unity Loginsystem mit PHP 500 Error?

Hallo, wisst ihr vielleicht warum dieser Code nicht funktioniert?

Ich habe einen Root Server mit MariaDB, PHP 8.2 und phpMyAdmin.

Das ist mein Servercode:

<?php

  $servername = "localhost";
  $username = "blabla";
  $password = "blabla";
  $dbname = "blabla";

  // variables submited by user
  $loginUser = $_POST["loginUser"];
  $loginPass = $_POST["loginPass"];

  // Create connection
  $conn = new mysqli($servername, $username, $password, $dbname);

  // Check connection
  if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
  }

  echo "Conected successfully, now we will show the users.<br><br>";

  $sql = "SELECT password FROM users WHERE username = " . $loginUser;
  $result = $conn->query($sql);

  if ($result->num_rows > 0) {
    // output data of each row
    while ($row = $result->fetch_assoc()) {
      if ($row["password"] == $loginPass) {
        echo "login Success";
      }
      else {
        echo "wrong credentials";
      }
    }
  }
  else {
    echo "Username does not exist";
  }

  $conn->close();
?>

Das ist mein Unity-Code:

void Start()
{
  // A correct website page.
  StartCoroutine(Login("testuser", "123456"));
}

IEnumerator Login(string username, string password)
{
  WWWForm form = new WWWForm();
  form.AddField("loginUser", username);
  form.AddField("loginPass", password);

  using (UnityWebRequest www = UnityWebRequest.Post("http://blabla/Login.php", form))
  {
    yield return www.SendWebRequest();

    if www.result != UnityWebRequest.Result.Success)
    {
      Debug.Logwww.error);
    }
    else
    {
      Debug.Logwww.downloadHandler.text);
    }
  }
}

In Unity bekomme ich folgende Fehlermeldung:

Und wenn ich auf das PHP-Dokument im Internet gehe:

Danke für eure Hilfe.

...zum Beitrag

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen