Webmasterplein.net

Hallo,

Ik heb een eigen leden systeem, als mensen zich aanmelden dan wordt die persoon zowel geregistreerd op het forum als op de homepage.

Alles gaat goed behalve het hashen van het wachtwoord, ik heb alles geprobeerd maar ik krijg maar niet de juiste hash in de database toegevoegd.

Ik heb de functies van phpbb3 al geprobeerd maar die genereert enkel een random hash

Nu heb ik hier een tool gezien waar je een wachtwoord in kan zetten en die omzet naar de juiste hash voor phpBB3, waar kan ik deze source krijgen??

Alvast bedankt voor de hulp,

Kai van Rijswijk

?

Wat bedoel je precies, met dezelfde input krijg je toch altijd dezelfde hash?

Onze tool gebruikt dezelfde functie en creëert blijkbaar ook steeds een andere hash, ik weet precies hoe de phpBB hash functie in elkaar steekt maar is dat niet ook gewoon de bedoeling?



Test eens of dit geeft met die verschillende hashes en hetzelfde wachtwoord.

Klopt, ik had een foutje gemaakt, excuseer.

i.i.g. bedankt voor de hulp

Geen probleem, ik ben ook weer wat wijzer.

Wat gaat er niet goed? Je vraag is me niet helemaal duidelijk.

Ik neem aan dat formulieren een hash meezenden om geautomatiseerde berichten te voorkomen, deze zal gechecked worden met de sessie van de gebruiker. Een salt is een string die meegehashed wordt voor extra veiligheid.

Ik zie trouwens dat je ongefilterd in je query stopt. Gebruikt in plaats hiervan de variabelen van phpBB's input class, ook al ben je alleen nog maar lokaal aan het testen.

Is er niet ook nog een veld waar in staat dat de gebruiker geactiveerd is? En moet de gebruiker niet toegevoegd worden in de geregistreerde gebruikers-groep? Ik noem maar wat..

Volgens mij moet er een class zijn waarmee je een gebruiker toevoegt i.p.v. dit zelf rechtstreeks in de database te doen. Die zou alles in een keer goed moeten doen.

Ik herhaal trouwens ook even dat je huidige methode van de DB bijwerken erg onveilig is.

Zo te zien gebruiken ze i.p.v. en . De laatste twee variabelen zijn ongecontroleerd en kunnen kwaadaardige code bevatten waarmee op je database ingebroken kan worden. Voor een hacker is het vrij eenvoudig om te ontdekken dat je website hier kwetsbaar voor is.

Over het toevoegen van gebruikers; er is bijv. een functie waar je naar kunt kijken.

http://area51.phpbb.com/docs/code/phpBB ... onuser_add
http://area51.phpbb.com/docs/code/