Log ind

**Henta24** · 07-05-2016, 13:25

(07-05-2016, 13:21)s0x Skrev: sha1('admin') giver ihvertfald D033E22AE348AEB5660FC2140AEC35850C4DA997... så noget er der galt.
Så jeg vil gætte på at der er et salt involveret, og uden det salt bliver det ikke nemt at gennemskue.

- har prøvet de forskellige kombinationer af Admin:Admin også, ingen giver dit output.

Hmm. Er på vej på arbejde nu men må lige se på registration siden, hvad der så er smidt på. Kunne bare ikke nå at gå ind på serveren og hente filen der tidligere er blevet brugt til at registrere med :)

**s0x** · 07-05-2016, 13:25

(07-05-2016, 13:25)Henta24 Skrev: Hmm. Er på vej på arbejde nu men må lige se på registration siden, hvad der så er smidt på. Kunne bare ikke nå at gå ind på serveren og hente filen der tidligere er blevet brugt til at registrere med :)

God arbejdslyst! :)

**Henta24** · 07-05-2016, 13:30

(07-05-2016, 13:25)s0x Skrev: God arbejdslyst! :)

Jo tak ;)
Men med sanitize mener du at jeg skal filtrere hvad data der kan smides ind i boksene så man ikke bare kan sige 1==1 (sql injection)

**s0x** · 07-05-2016, 13:31

(07-05-2016, 13:30)Henta24 Skrev: Jo tak ;)
Men med sanitize mener du at jeg skal filtrere hvad data der kan smides ind i boksene så man ikke bare kan sige 1==1 (sql injection)

lige præcis ;)

**Ash** · 07-05-2016, 16:03

Man skal aldrig sanitize user input. Altid outputtet, så du ikke ender med at gemme noget forkert eller outputte noget forkert.

**s0x** · 07-05-2016, 17:59

(07-05-2016, 16:03)Ash Skrev: Man skal aldrig sanitize user input. Altid outputtet, så du ikke ender med at gemme noget forkert eller outputte noget forkert.

Hvis du ikke sanitizer inputtet, risikerer du at kommandoer bliver executed inden noget bliver outputted... just saying

**Ash** · 07-05-2016, 18:34

(07-05-2016, 17:59)s0x Skrev: Hvis du ikke sanitizer inputtet, risikerer du at kommandoer bliver executed inden noget bliver outputted... just saying

Det kommer bestemt an på, hvad man skal lave. Hvis brugeren har lyst til at hedde en SQL query eller noget Javascript/HTML/PHP, så skal brugeren selvfølgeligt have lov til at gøre det. Derfor skal man aldrig gemme det sanitized input i databasen eller lignende, da man så skal huske at unescape det hele igen osv.

I stedet for at escape hele lortet og sanitize alt, skal man bruge prepared statements osv. til at sørge for, ens kode bliver kørt som det skal. En bruger må derfor gerne hedde

Kode:
';DROP TABLE mybb_users;

eller whatever. Såvel som han må hedde

Kode:
<h1>whatever </h1>

, bare man husker at escape det inden man outputter det, med htmlentities() osv.

Giver det ikke mening?

**s0x** · 07-05-2016, 19:19

(07-05-2016, 18:34)Ash Skrev: Det kommer bestemt an på, hvad man skal lave. Hvis brugeren har lyst til at hedde en SQL query eller noget Javascript/HTML/PHP, så skal brugeren selvfølgeligt have lov til at gøre det. Derfor skal man aldrig gemme det sanitized input i databasen eller lignende, da man så skal huske at unescape det hele igen osv.

I stedet for at escape hele lortet og sanitize alt, skal man bruge prepared statements osv. til at sørge for, ens kode bliver kørt som det skal. En bruger må derfor gerne hedde
Kode:
';DROP TABLE mybb_users;
eller whatever. Såvel som han må hedde
Kode:
<h1>whatever </h1>
, bare man husker at escape det inden man outputter det, med htmlentities() osv.

Giver det ikke mening?

Du har sikkert ret, min hjerne har jo vænnet sig til mysql_query's. Med prepared statements har det jo ikke den store betydning om man får fixet inputtet inden det bliver sendt til databasen, men i "gamle dage" var det jo noget helt andet.
Jeg beklager min tilvænnede mysql-stil

**Ash** · 07-05-2016, 19:23

(07-05-2016, 19:19)s0x Skrev: Du har sikkert ret, min hjerne har jo vænnet sig til mysql_query's. Med prepared statements har det jo ikke den store betydning om man får fixet inputtet inden det bliver sendt til databasen, men i "gamle dage" var det jo noget helt andet.
Jeg beklager min tilvænnede mysql-stil

Det er sådan de fleste tænke ja

Hvis du nu fx sanitizede input og alle ' osv. blev til \' osv. i databasen, ville en tredjepart få svært ved at de-sanitize det perfekt, med mindre det er i samme sprog. Hvis du fx først kører htmlentities() på dit input, ville du få en masse < og > i stedet for < og >. Hvis du gemmer det i databasen, skal du derefter køre html_entity_decode() i PHP (hvis du skal læse det 100% som det blev inputtet) eller finde en anden metode i et andet sprog. Sådan skal det jo ikke være

**Henta24** · (Denne besked var sidst ændret: 07-05-2016, 23:34 af Henta24.)

Hmmm. Nu er jeg ikke så hardcore. Har ikke lavet så meget login og registrering m.m. Tror bare jeg bliver nødt til at finde et eksempel på nettet og bruge dette frem for mit eget :)

Fik tjekket filen. Det er sha1.. Hmmm..

Kode:
$post_accountname = mysqli_real_escape_string($mysql_connect, trim(strtoupper($_POST["accountname"])));

$post_password = mysqli_real_escape_string($mysql_connect, trim(strtoupper($_POST["password"])));

$post_password_final = mysqli_real_escape_string($mysql_connect, SHA1("".$post_accountname.":".$post_password.""));

$post_password2 = trim(strtoupper($_POST["password2"]));

$post_email = mysqli_real_escape_string($mysql_connect, trim($_POST["email"]));

$post_expansion = mysqli_real_escape_string($mysql_connect, trim($_POST["expansion"]));

Det er sha1, men det vil ikke gå igennem??

Tilføjelse. Prøvede at skrive admins:admins og der ville den godt gå igennem, men jeg ved at passworded til selve game serveren er username: admins password: admins

Kan se at der skrives både accountname + password sammen i username:password
$post_password_final = mysqli_real_escape_string($mysql_connect, SHA1("".$post_accountname.":".$post_password.""));

Log ind
Brugernavn
Kodeord:	Glemt kodeord?
	Husk mig