Hulp bij visual studio

Op welke regel krijgt je een fout? Welke fout krijg je? Of krijg je geen fout maar levert de query geen resultaten of .. of... of ...

Ik zou de user uit de database halen en dan in code controleren of de opgeven hash klopt met de opgeslagen hash.

Overigens is het 'mijn website' en niet 'me website'. Probeer dergelijke uitspraken ook zoveel mogelijk te voorkomen voordat het helemaal in je 'systeem' zit en je straks zulke taal gaat uitslaan bij sollicitaties of andere gesprekken. (gewoon als tip)

Daarnaast zou ik ook nog eens overwegen of MD5 wel veilig genoeg is anno 2018.
Mijn vermoeden zegt van niet.
https://security.stackexc...s-md5-considered-insecure
https://stackoverflow.com...-md5-for-password-hashing
http://www.zdnet.com/arti...scrambler-no-longer-safe/

Zoek maar eens op "MD5 password" dan krijg je voldoende leesvoer.

Verwijderd schreef op woensdag 4 april 2018 @ 08:10:
[...]


Hij zegt dat de gebruikers naam / password niet klopt.

Neem aan dat je wel het ingevoerde wachtwoord eerst hashed voordat je het vergelijkt met de MD5 waarde in de database? Gaat de hashing op dezelfde manier en krijg je de verwachte waarde of klopt 'pass' als parameter al niet voordat je de query uitvoert?

Verwijderd schreef op woensdag 4 april 2018 @ 08:10:
[...]


Hij zegt dat de gebruikers naam / password niet klopt.

Dus toen ben je gaan debuggen. Klopt het password (hash) die je in je query stopt? Username ook? Inclusief case, spaties er omheen, etc? Wat als je de sql met de hand uitvoert? Enz.

Verwijderd schreef op woensdag 4 april 2018 @ 08:15:
[...]

Hij is gehasd in the database, dat maakt die al aan als ik gewoon op de site via php aanmeld.

Maar berekent je app ook de hash? En klopt die?

Dus zoals verwacht roep je 'validate_login' aan met het wachtwoord in plain text? Correct?
Of is dat ook een MD5 hash? Zet eens een breakpoint (F9) op regel 4 en controleer dan eens de waarde die je binnen krijgt als 'pass'.

@Verwijderd je begrijpt de vraag niet. Je moet ook bij het checken van de login de password hashen want anders ga je altijd nul resultaten krijgen. Je vergelijkt op dit moment in deze query:



Het unhashed input password met het in de DB gehashte password. Die zijn natuurlijk nooit hetzelfde.

Verwijderd schreef op woensdag 4 april 2018 @ 08:27:
[...]


Hoe moet ik die dan opvragen?

Je moet die niet opvragen.

Je slaat je wachtwoord in je databse dmv php op met md5();

Dan moet je in je app ook je password hashen met MD5 en dan vergelijken. Als ze allebij gehashed zijn zullen ze bij dezelfde input dezelfde hash waarde zijn.

Dus @pass moet je eerst hashen kort gezegd met MD5 voordat je de select doet.

Bij troubleshooten print je ook altijd de output van een query zodat je weet wat hij precies vergelijkt, dan had je kunnen zien dat hij plain text password vegelijkt met de MD5 hashed password welke niet hetzelfde zijn.

[ Voor 27% gewijzigd door RedHat op 04-04-2018 08:31 ]

Verwijderd schreef op woensdag 4 april 2018 @ 08:27:
Hoe moet ik die dan opvragen?

Als ik je werk voor je moet gaan doen moet je me ervoor gaan betalen.

P.s. MD5 is kut, volkomen stuk en moet je niet meer gebruiken.

[ Voor 62% gewijzigd door Hydra op 04-04-2018 08:35 ]

DonJunior schreef op woensdag 4 april 2018 @ 08:35:
Je kan ook iemand de goede richting in sturen in plaats van meteen af te katten he?

Zeg maar wat ik letterlijk in m'n eerste post deed waarna de OP meteen reageerde zonder zelf uberhaupt even na te denken?

Ook dit is een leerervaring voor de OP: hij zal moeten leren zelf initiatief te nemen anders kan 'ie een carriere als software engineer wel vergeten.

[ Voor 19% gewijzigd door Hydra op 04-04-2018 08:41 ]

MSDN: MD5 Class (System.Security.Cryptography)

Daar je "pass" doorheen halen en het resultaat als parameter meegeven.

Verwijderd schreef op woensdag 4 april 2018 @ 09:01:
@Lethalis @Hydra @DonJunior @Reptile209 @FeronIT dankje allemaal voor je hulp heb al een andere manier gevonden laat gewoon een random code genereren in text plain en dan gebruik ik username en dan de code dan werkt het

Werk je voor Equifax of voor Panera?

Verwijderd schreef op woensdag 4 april 2018 @ 09:01:
@Lethalis @Hydra @DonJunior @Reptile209 @FeronIT dankje allemaal voor je hulp heb al een andere manier gevonden laat gewoon een random code genereren in text plain en dan gebruik ik username en dan de code dan werkt het

Daarmee doe je echter de voordelen van een hashing functie teniet, namelijk dat de echte wachtwoorden niet in de database staan.

Dus stel jij hebt een bug in jouw website en iemand krijgt via SQL injection toegang tot jouw database, dan zou het jammer zijn als hij in 1 keer alle wachtwoorden bemachtigt.

Zijn ze eerst door een hashing functie gehaald, dan is het lastiger om het echte wachtwoord te achterhalen.

Hydra schreef op woensdag 4 april 2018 @ 08:40:
[...]


Zeg maar wat ik letterlijk in m'n eerste post deed waarna de OP meteen reageerde zonder zelf uberhaupt even na te denken?

Ook dit is een leerervaring voor de OP: hij zal moeten leren zelf initiatief te nemen anders kan 'ie een carriere als software engineer wel vergeten.

Helemaal mee eens hoor..

Verwijderd schreef op woensdag 4 april 2018 @ 09:08:
[...]

De echte wachtwoorden blijven gewoon gehasd in de database via dat kunnen ze inloggen op de website.

Ze kunnen verder niks met de app alleen sites vieuwer.

Hoe vaak wordt de random code gegenereerd?
Is de verbinding tussen de app en de API of database versleuteld?

En nogmaals: probeer eens fatsoenlijke zinnen te typen, ook op een mobiel. Dit is echt verrot lezen...

ElCondor schreef op woensdag 4 april 2018 @ 09:14:
En nogmaals: probeer eens fatsoenlijke zinnen te typen, ook op een mobiel. Dit is echt verrot lezen...

En hou je aan de .NET naming conventions... (ValidateLogin)
Maak geen functies die side effects hebben... (Geef database verbinding als parameter mee)
Gebruik interfaces waar dat kan... (IDBConnection, IDataReader, etc)
Gebruik try finally als je een niet managed object wil disposen (de connection).

Die hele functie hoeft niet aware te zijn van MySQL bijvoorbeeld.

[ Voor 14% gewijzigd door Lethalis op 04-04-2018 09:31 ]

Beste Robin,

je geeft wel heeeel korte antwoorden op de vragen die hier gesteld worden en aan een deel van die antwoorden is vervolgens geen touw aan vast te knopen.
Wij proberen je te helpen en met je mee te denken, maar je zou toch wat meer informatie in jouw antwoorden moeten geven. Geef in ieder geval op iedere afzonderlijke vraag een antwoord met de zaken die je hierin hebt ondernomen en hoe je een en ander hebt geïmplementeerd. Dat helpt ons bij het helpen.

als ik jouw antwoorden nu lees heb je een oplossing gekozen welke verre van ideaal is en verstuur je het wachtwoord onversleuteld over de lijn tussen app en website.
Het zou beter zijn om hier toch versleuteling op toe te passen. Kun je eens het stappen diagram van jouw implementatie posten?

De user vult zijn gegevens in, in de app.
En dan? Wat doet de app vóórdat de gegevens verstuurd worden naar de website? Doet die al aan versleuteling?
Wat gebeurt er aan de kant van de website? Deze zou de binnengekomen gegevens versleuteld en al moeten vergelijken met de versleutelde gegevens in de database.
Bij registratie op jouw website hoef je het wachtwoord dus maar één keer te versleutelen en op te slaan in de database. Daarna gebruik je alléén die versleutelde gegevens om de gebruikers via de website of de app te verifiëren.

ElCondor schreef op woensdag 4 april 2018 @ 09:48:
je geeft wel heeeel korte antwoorden op de vragen die hier gesteld worden en aan een deel van die antwoorden is vervolgens geen touw aan vast te knopen.

^^ dit. Robin, je krijgt allerlei zinnige reacties, onder meer over hoe slecht MD5 is voor wachtwoorden, over hoe je hashes moet rondpompen over een beveiligde verbinding, over hoe je vooral geen gekke dingen moet doen en uiteindelijk beslis je toch voor de gekste oplossingen waarbij je vervolgens telkens weer zo weinig info geeft dat er aan je hele verhaal geen touw meer vast te knopen is. Ik ga je topic dan ook sluiten want op deze manier heeft niemand er iets aan, en jij nog het minst van allemaal.

Lees asjeblieft alle adviezen nog eens goed door. Je bent nu hele rare dingen aan het doen en daarmee breng je de gegevens van je gebruikers in gevaar.