Unbekannter Fehler

**jahlives** · 30.08.2006, 10:16

Poste doch mal den SQL Befehl...
Und probier doch den SQL Befehl mal via Konsole an die DB zu schicken

Gruss

tobi

**Lennie** · 30.08.2006, 10:24

Es ist alles verschachtelt. ich ahbe in dem vorscript ein formular, in dem man wenn man sein passwort vergessen hat, sich ein neues zusenden lässt. dafür sendet man ein Post mit der Mail zu diesem script:

PHP-Code:


   $mail = $_POST['mail'];

   $daten = "SELECT

                Site

            FROM

                Daten";            

    $result = mysql_query($daten) OR die(mysql_error());

    

    while($row = mysql_fetch_assoc($result)) { 

    $site = $row['Site'];

}

   $pwmail = "SELECT

                UserMail,

                UserPass,

                UserName

            FROM

                admin

            WHERE

                UserMail = '$mail';";

    $result = mysql_query($mail) OR die(mysql_error());

    while($row = mysql_fetch_assoc($result)) {

    $usermail = $row['UserMail'];

    $userpass = $row['UserPass'];

    $username = $row['UserName'];

    }

    if($mail == $usermail){

    echo "Ihr PAsswort wurde soeben an folgende Mail gesand: $UserMail";

    $empfaenger = "$usermail";

    $betreff = "Ihr Passwort.@ $site";

    $text = "Hallo $username, Sie oder eine andere Person 

haben/hatt ihr Passwort auf $site angefordert. Sollten Sie es 

gewesen sein, notieren sie es sich bitte. Ihr Passwort lautet: 

$userpass . Liebe Grüße das $site Team. PS.: Diese Nachricht wurde

 automatisch angelegt, und kann nur von ihnen gelesen werden! ";

    mail($empfaenger, $betreff, $text,

       "From: $site <PAsswortreminder@$site>");}

    else {

    echo "Wir konnten keinen User mit dieser Mail finden. Versuchen

 sie es erneut. <a href='admin.php?section=forgotten'>Passwort 

Vergessen?</a>";

   }

**Lennie** · 30.08.2006, 10:31

Ich habe den fehler gefunden.

Der sql befehl war in $pwmail gespeichert. ich habe aber versucht $mail auszuführen.

//EDIT:

Ich habe leider feststellenmüssen, dass das Passwort verschlüsselt versendet wird, so wie es in der Datenbank steht. Leider kenne ich nicht die dafür zustendigen befehle diesen code zu entschlüsseln. Kann mir jemand den Code zeigen?#

(md5 format)

**closure** · 30.08.2006, 10:38

Original geschrieben von Lennie
Ich habe leider feststellenmüssen, dass das Passwort verschlüsselt versendet wird, so wie es in der Datenbank steht. Leider kenne ich nicht die dafür zustendigen befehle diesen code zu entschlüsseln. Kann mir jemand den Code zeigen?#

(md5 format)

Geht nicht

Naja geht schon, deswegen ist md5 nicht mehr so geeignet,
aber für dich ohnehin uninteressant bzw. für das was du da
machen willst.

greets

**Lennie** · 30.08.2006, 10:41

Ich will dem User ein Passwort zukommen lassen, mit einen MD5 code kann dieser herzlich wenig anfangen.

Da ich aber zum Beispiel Phpbb kenne, und die auch passwörter in md5 haben, man aber trotzdem das passwort anfordern kann, wie wird das da gemacht?

wie kann man dies denn anders regeln oder andere varianten nutzen.

mir viele nur ein, das alte passwort zu ersetzten, durch einen zufallscode und dann diesen zufallscode zusenden lassen

**jahlives** · 30.08.2006, 10:43

OffTopic:

Einfach probieren. Gemäss einem Bericht der mal bei Heise war ist möglich bereits bei 2^64 Versuchen eine Kollision zu erzeugen.
Also dann halte dich ran

Nein md5() ist eine sogenannte Einwegfkt, die nicht einfach umgekehrt werden kann.
Da gibt's nur BruteForce um das PW zu knacken. Oder eben du findest einen String der eine Kollision erzeugt und damit denselben Hashwert.

Gruss

tobi

**jahlives** · 30.08.2006, 10:45

wie kann man dies denn anders regeln oder andere varianten nutzen

Zufallspasswort erstellen und vor der md5() Fkt mittels Mail an den User schicken und als PW in die DB erst mittels md5() hashen.

Gruss

tobi

**closure** · 30.08.2006, 10:46

Original geschrieben von Lennie
mir viele nur ein, das alte passwort zu ersetzten, durch einen zufallscode und dann diesen zufallscode zusenden lassen

Ist der gängige weg wenn man die passwörter nicht auch noch
im klartext abspeichern möchte. Dann macht allerdings das zusätzliche
speichern der md5-summen auch keinen großen sinn mehr.

Auch noch denkbar wäre die verwendung einer symetrischen
verschlüsselungsmethode.

greets

Unbekannter Fehler