[MYSQL/PHP] Błąd ;/

[XxMichałxX]

Kod:

$zapytanie="SELECT * FROM phpfus_users WHERE user_name=$nick";
$wykonaj=mysql_query($zapytanie);
while($wiersz=mysql_fetch_array($wykonaj))
{
print "Nick: ".$wiersz['user_name']."<br>";
print "Haslo: ".$wiersz['user_password']."<br>";
print "Email: ".$wiersz['user_email']."<br>";
}

Error:

Warning:  mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/sites/yoyo.pl/a/v/average-designers/showinfo.php on line 7

 

Czemu ten błąd wyskakuje?

[Tymon]

Bo mysql_query zwraca false?

$zapytanie="SELECT * FROM phpfus_users WHERE user_name='$nick'";

[Marek.S]

aby na pewno jest ok z tymi apostrofami?

$zapytanie="SELECT * FROM phpfus_users WHERE user_name='". $nick ."';";

 

btw w SQL na końcu też musi być ;

[Tymon]

Nie musi. :P

$name to string, więc podawajmy go SQLowi jako string.

[XxMichałxX]

dobra juz dziala. tylko ze teraz user_password (w phpfusion) jest jakoś kodowane... jak to jest kodowane i jak odkodować?

[Tymon]

Tak jak to robi phpfusion.

[adam014]

Żeby się dało odkodować to po co by to kodowali? Hash z hasła jest porównywany ze zhashowanym wpisanym hasłem :D

[XxMichałxX]

no to sie da odkodowac czy nie? to jest jakąś metodą kodowane? czy tak se php fusion wymyślił?

[Dawidds]

Weź może lepiej powiedz, co chcesz zrobić, to ci powiemy.

 

Jeśli jest to jakiś rodzaj sumy kontrolnej (a jestem wręcz pewien, że tak) to NIE da się tego odkodować.

 

Ed:

LOL, nie słyszałeś nigdy o czymś takim jak suma kontrolna ;/ ?

 

Suma kontrolna to liczba, ciąg bajtów, przedstawiany najczęściej w formacie szesnastkowym, będący odzwierciedleniem jakiegoś ciągu znaków.

Z każdego ciągu znaków da się utworzyć sumę kontrolną, a więc logicznie rozumując, na nieskończoność możliwych plików przypada skończona liczba skrótów, idąc dalej na jeden skrót przypada nieskończona liczba plików.

Czyli, logicznie rozumując - sumy kontrolnej NIE da się odkodować.

 

Ed2

czy tak se php fusion wymyślił?

Chyba w każdym portalu/forum hasła są kodowane przez MD5... ;/

A tak nawiasem mówiąc, to dużo bezpieczniej kodować np. sha1(md5(str)+"blabla") - jeśli ktoś już by dostał hashe haseł userów, to 20% by odczytał z gotowych baz danych, a jakby mu bardzo zależało, to by resztę brute-forcem złamał.

A tak nie ma szans nawet brute-forcem - nie wie dokładnie, na jakiej podstawie tworzymy sumy.

No chyba, że by się włamał też do źródła portalu jakimś cudem... :P

[XxMichałxX]

nie no bo mam strone w php-fusion i sobie napisałem skrypt taki że sobie wpisze nick i mi pokazuje wszystkie dane (e-mail, hasło, ip, id itp itd.) tylko że hasło sie zakodowane pokazuje a hasło prawie najwazniejsze zeby komus podejżeć ;)

 

edit: a można jakoś przerobić w php-fusion zeby jak sie gostek rejestruje to zeby jego hasło sie nie kodowało?

[Tymon]

Eeee. XxMichałxX. Weź zostaw lepiej programowanie bo z takim podejściem... jesteś głupi.

[XxMichałxX]

ale czemu? co nie moge sobie hasła podejrzeć ;d ?

e: czy moze chodzi ci o to ze mozna to zrobic 100x łatwiej a ja komplikuje?

[PsichiX]

Chodzi o to ze bedziesz zapewne chcial to wysylac innym jako mod do php-fusion z bajerami, wraz z schowanym w sobie skryptem na pobieranie danych z bazy ofiary i miec dostep do wszystkich ich danych, oraz udawac 'pro hakiera'.

Ale skoro nie jestes w stanie pojac takich rzeczy to nie masz sie co bawic w hakierstwo.

EDIT: Zawsze mozesz sprobowac lamac haslo metoda bruteforce jesli PHPfusion korzysta tylko z sumy kontrolnej

EDIT2: O K###A, czytam w myślach! :D

[Tymon]

Chodziło mi raczej o to, że z tak szczeniackim podejściem do ochrony danych użytkowników to może się utopić, ale to co PsichiX napisał też jest ok. :)

[Kofel]

Tymon, proszę nie

"string $zmienna string"

tylko

"string" . $zmienna . "string"

:>

[Tymon]

Mi to ryba. I tak w PHP używam single quote. :)

[Kofel]

No ja też, ale kurde takie coś to woła o pomstę do nieba ;P

[gnysek]

To ja już wolę 'string' . $zmienna . 'string', bo "" od tego jest żeby dawać "string $zmienna string".

[Kofel]

He? Właśnie od Tego nie jest, bo tylko to w PHP zauważyłem ;P

[gnysek]

No tak, własnie w PHP od tego to jest :) Tak sobie ktoś wymyślił. Dla tego przetwarzanie zmiennych w " jest dłuższe od tych w ', chociaż Ranma twierdzi, że w nowych wersjach PHP nie ma większej różnicy (nie widziałem jednak testów).

[Kofel]

stfu Tzn. masz racje, ale mi się taki zapis nie podoba ;p

[gnysek]

Nom, to inna sprawa. Najlepsze, że tablicę trzeba wtedy zapisać jako {$zmienna[5]}, bo bez klamerek się sypie :P

[Kofel]

O nie wiedziałem ;P

[freeVenge]

Chodzi o to ze bedziesz zapewne chcial to wysylac innym jako mod do php-fusion z bajerami, wraz z schowanym w sobie skryptem na pobieranie danych z bazy ofiary i miec dostep do wszystkich ich danych, oraz udawac 'pro hakiera'.

Ale skoro nie jestes w stanie pojac takich rzeczy to nie masz sie co bawic w hakierstwo.

EDIT: Zawsze mozesz sprobowac lamac haslo metoda bruteforce jesli PHPfusion korzysta tylko z sumy kontrolnej

EDIT2: O K###A, czytam w myślach! biggrin.gif

 

gówno wiesz co chce a co nie chce. poprostu chciałem sobie zrobić na stronie SWOJEJ takie coś, żeby zobaczyć dane uzytkownika jak mnie jakis wkurzy, wtedy mu się 'za karę popsocę' ;d

i w ogole czemu zawiesiliście mi konto? za co?

[gnysek]

Za to, że posiadasz dwa.

 

Btw. - jak masz własną stronę, to nie musisz znać hasła, by pozmieniać ustawienia czy podszywać się za tego usera na swojej stronie - nawet nie musisz pisać żadnego skryptu, wystarczy sama modyfikacja bazy danych.

[Kofel]

Gnysek, ale jak się jest idiotą...