username & password gebruiken voor ander doel

arthurkr · Bericht door **arthurkr** » 21 feb 2006, 00:28

Hoi, is het mogelijk om de username en password uit de database te vissen en dan te gebruiken voor iets anders.

Ik wil namelijk een adreslijst van medewerkers (zit in andere database) maken en deze mag uiteraard alleen gezien worden door de mensen die op het forum kunnen inloggen. Het probleem zal waarschijnlijk de encryptie van het password zijn, hoe los ik dat op?

groeten Arthur

Bee · Bericht door **Bee** » 21 feb 2006, 08:24

Ik kan mij herinneren dat er iets van een adresboek mod was. Wachtwoorden zijn in md5 gecodeerd en het is practisch onmogelijk dat terug te coderen.

Over de addressbook mod, ik heb hem niet getest, maar dit is de download:
http://runehq.com/downloads/Address_book_0.9.1.zip

arthurkr · Bericht door **arthurkr** » 22 feb 2006, 10:38

Tnx, zal me er het weekend eens in verdiepen, weet eigenlijk niets van md5 dus zal het een zwaar weekend worden

gr. Arthur

Bee · Bericht door **Bee** » 22 feb 2006, 11:37

Even een korte uitleg hoe het zit.

Als je registreert, en je voert als wachtwoord bijvoorbeeld test in, dan zal daar een md5 string van gemaakt worden in php (kan je zelf ook: http://www.phpbbhacks.com/md5.php ) en zal ook zo worden opgeslagen in de database.

Als je inlogt met dat wachtwoord, dan wordt dat wachtwoord wat je invoert ook naar md5 worden gecodeerd. Vervolgens worden die twee met elkaar vergeleken. Als ook de gebruikersnaam overeen komt, ben je ingelogd.

Ytrecq · Bericht door **Ytrecq** » 25 feb 2006, 15:28

Ik heb het inlog systeem van phpBB in mijn site geïntergreerd. Ik zou je het wel willen uitleggen.

arthurkr · Bericht door **arthurkr** » 01 mar 2006, 11:47

Nou dat lijkt me een goed idee

's kijken hoever ik het kan volgen, heb je ook iets van voorbeeld (script?)

gr. Arthur

Ytrecq · Bericht door **Ytrecq** » 01 mar 2006, 15:37

Ik heb code gekopieërd vanuit de index.php
Dit moet je in je header plakken(als je die include) of bovenaan elke pagina:

Code: Selecteer alles

define('IN_PHPBB', true);
define('PHPBB_INSTALLED', true);
include "common.php";
//
// Start session management
//
$userdata = session_pagestart($user_ip, PAGE_INDEX);
init_userprefs($userdata);
//
// End session management
//
//
// Generate logged in/logged out status
//
if ( $userdata['session_logged_in'] ) {
	$u_login_logout = 'forum/login.php?source=1&logout=true&sid=' . $userdata['session_id'];
	$l_login_logout = 'Uitloggen [ ' . $userdata['username'] . ' ]';
	$userid  = $userdata['user_id']; 
} else {
	$u_login_logout = 'forum/login.php?source=1';
	$l_login_logout = 'Login';
}

De bovenste dingen zijn erg belangrijk, anders zegt hij dat er gehackt word. Als de pagina in de map van de forum is kan de de regel

Code: Selecteer alles

include "common.php";

Zo laten, anders moet je common.php naar de map waar dit bestand instaat en op regel 167 dit invoegen:

Code: Selecteer alles

$phpbb_root_path = "phpBB/";
$phpEx = "php";

Je moet nu bij de login link

Code: Selecteer alles

<?php print "<a href=\"$u_login_logout\">$l_login_logout</a>"; ?>

plakken.

Het uitleggen van het automatisch redirecten is erg moeilijk te doen. Ik heb het zo gedaan dat de link op de hoofdpagina er zo uitziet: /forum/login.php?source=1 en er dan voor zorgen dat de variabele de het hele script word doorgegeven en bij de redirects een if() die als source 1 is redirect naar index.php en anders naar /forum/index.php.
Je moet de if structuur toevoegen bij de regels die je in login.php moet wijzigen bij de installatie van eZportal. Als je altijd naar de index.php wilt redirecten moet je ook de wijzigingen van eZportal in login.php doorvoeren, maar dan zonder de if() waar ik het over had en portal.php vervangen door de link naar de index.

Ook wel leuk om te weten is dat je dan elke rij uit de tabel: phpbb_users kan oproepen met de array:

Code: Selecteer alles

$userdata['rijnaam']