[Johan_S]

Läsning: http://us3.php.net/manual/en/function.sha1.php

Testa att köra salt och kontrollera manuellt om salten stämmer, kan vara små saker som att du inte har tillräcklig längd på fältet i databasen som strular.

Lite exempel som jag tror ska vara duliga (otestat):

//Definera salt
$salt = "abcdefhijklmn";

//Ta emot formulärdata
$user = mysql_real_escape_string($_POST['username']);
$pass = mysql_real_escape_string(($_POST['pass']);

//Salta lösen
$pass_salted = sha1($salt.$pass));


$result_getUser = mysql_query("SELECT password,active FROM members WHERE username='$user' AND password = '$pass_salted'");

if (mysql_num_rows($result_getUser) == 0){

//Fel lösen eller ingen användare
exit;

} else {

//Sätt session för inloggning eller visa hemlig sida

}

[AnOnYmUs]

Citat:

Ursprungligen postat av Johan_S

Läsning: http://us3.php.net/manual/en/function.sha1.php

Testa att köra salt och kontrollera manuellt om salten stämmer, kan vara små saker som att du inte har tillräcklig längd på fältet i databasen som strular.

Lite exempel som jag tror ska vara duliga (otestat):

//Definera salt
$salt = "abcdefhijklmn";

//Ta emot formulärdata
$user = mysql_real_escape_string($_POST['username']);
$pass = mysql_real_escape_string(($_POST['pass']);

//Salta lösen
$pass_salted = sha1($salt.$pass));


$result_getUser = mysql_query("SELECT password,active FROM members WHERE username='$user' AND password = '$pass_salted'");

if (mysql_num_rows($result_getUser) == 0){

//Fel lösen eller ingen användare
exit;

} else {

//Sätt session för inloggning eller visa hemlig sida

}

Du hade helt rätt, varchar(12) <- där hade vi ett stort problem

[Johan_S]

Citat:

Ursprungligen postat av AnOnYmUs

Du hade helt rätt, varchar(12) <- där hade vi ett stort problem

Perfekt, då kan man ta helg snart med hedern ibehåll.

[tartareandesire]

Citat:

Ursprungligen postat av AnOnYmUs

Du hade helt rätt, varchar(12) <- där hade vi ett stort problem

Hehe, det blir lite mer av en utmaning att logga in då Har själv råkat göra samma sak, ganska lätt hänt om man är lite för snabb i phpMyAdmin.

Som Simon säger så bör du helst lägga salt på bägge sidor och då gärna ett användarspecifikt sådant.

[BjörnJ]

Citat:

Ursprungligen postat av Johan_S

//Ta emot formulärdata
$user = mysql_real_escape_string($_POST['username']);
$pass = mysql_real_escape_string(($_POST['pass']);

Det är onödigt att köra mysql_real_escape_string() på lösenordet eftersom det hashas och aldrig skickas i klartext till databasen.

Använd gärna trim() också (på både lösenord och annat).