有條件的PHP md5
[英]PHP md5 in conditional
問題描述
我有一個簡單的腳本,我正在嘗試做一個簡單的md5用戶/密碼om。 我遇到的問題是,無論我在用戶/通過字段中輸入什么內容,它都與條件匹配,並允許包含加載
<?php
if(md5($_POST['user']) === 'md5user' && md5($_POST['pass']) === 'md5pass'):
include("secure.php");
else: ?>
<body>
<div class="container" style="width: 20%;">
<div class="row-fluid well" style="background: #333; margin-top: 25%;">
<p class="lead">Inventory Update Login</p>
<form class="form" method="POST" action="secure.php">
<label>User Name</label><input class="input-block-level" type="text" name="user"></input><br/>
<label>Password</label><input class="input-block-level" type="password" name="pass"></input><br/>
<input class="btn btn-primary" type="submit" name="submit" value="Go"></input>
</form>
<div class="alert alert-error">
<h4>Warning!</h4>
Best check yo self, you're not supposed to be here by accident. If you are here to do something naughty, keep in mind we are a company owned by people with guns!
</div>
</div>
</div>
</body>
secure.php:
<?php
$secretkey = "12345";
print_r($_POST);
?>
<html>
<head>
<link rel="stylesheet" href="https://dev.zinkcalls.com/media/jui/css/bootstrap.min.css" type="text/css" />
<style>
body {color: #fff;}
.well, .brand, .navbar-inner, .popover, .btn, .tooltip, input, select, textarea, pre, .progress, .modal, .add-on, .alert, .table-bordered, .nav>.active>a, .dropdown-menu, .dropdown-menu>li>a:hover, .tooltip-inner, .badge, .label, .img-polaroid {
background-image: none !important;
border-collapse: collapse !important;
box-shadow: none !important;
-moz-box-shadow: none !important;
-webkit-box-shadow: none !important;
border: none;
text-shadow: none !important;
}
</style>
</head>
<body>
<div class="container" style="width: 20%;">
<div class="row-fluid well" style="background: #333; margin-top: 25%;">
<?php if((!isset($_POST['key']) or ($_POST['key'] != $secretkey)) and !isset($_POST['update'])): ?>
<div class="alert alert-error">
<h4>Whoaa!</h4>You need the secret key bro.
</div>
<form class="form" method="POST" action="secure.php">
<label>Secret Key</label><input class="input-block-level" type="text" name="key" /><br/>
<input class="btn btn-primary" type="submit" name="submit" value="Enter Secret Key" />
</form>
<?php elseif(($_POST['key'] = $secretkey) and !isset($_POST['update'])): ?>
<div class="alert alert-error">
<h4>Careful!</h4>
You may destroy everything in one click of the button. Proceed?
</div>
<form class="form" method="POST" action="secure.php">
<input class="btn btn-primary" type="submit" name="update" value="Yes" />
<input class="btn" type="reset" name="abort" value="No" />
</form>
<?php else:?>
<div class="alert alert-success">
<?php include("inventory_query.php"); ?>
<h4>Done!</h4>
Now get the hell outta here.
</div>
<?php endif; ?>
<hr />
<form class="form" method="POST" action="inventory.php">
<input class="btn btn-primary" type="submit" name="logout" value="Logout" />
</form>
</div>
</div>
</body>
</html>
2 個解決方案
解決方案1
4 已采納 2014-07-21 19:49:51
您的表單已提交到secure.php並且由於該文件不包含此檢查(我認為),因此其中的所有內容都僅被執行/顯示。 從-tag form刪除action="secure.php" ,以發布到自己。
PS。 如果您想要更持久的登錄,請了解會話 。
解決方案2
0 2014-07-21 19:55:44
好的,首先,出於安全原因,不應將md5與密碼一起使用。 請仔細閱讀本主題,因為我將不做過多詳細介紹。
話雖如此,這就是您遇到的問題。
md5將返回所提供字符串的md5哈希。 例如:
echo md5('md5pass'); // 65ed8a5eec59a1a6f75ec845294aead8
那不會改變。 它是一個新字符串,不能與原始字符串進行比較,在本例中為“ md5pass”。 您可以做的是將用戶提供的值的哈希值與期望值進行比較。
在這種情況下, md5($_POST['pass']) === md5('md5pass')僅在$_POST['pass']為'md5pass'時評估。
同樣,請查看對您的密碼進行哈希處理 。
編輯:
@Peter van der Wal也是正確的。 在更正表單操作之前,您永遠不會執行想要的檢查。
mysql md5(md5('pass')+ salt)不等於php md5(md5('pass')。salt)
[英]mysql md5(md5('pass') + salt) not equal php md5(md5('pass').salt)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.