Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

04.07.2022, 10:04

SQL injection ist mir natürlich bewusst, aber da fange ich illegale Charakter gleich bei der Eingabe ab ;)

1 Antwort

Babelfish

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Programmieren & Softwareentwicklung, Software & Apps

04.07.2022, 10:16

Vorerst mal, Stimmt das so? Kann das funktionieren?

Ja, das ist erst mal schon der richtige Weg. Später würde ich noch mit einem zufälligen Salt arbeiten aber zum Testen geht es auch so.

Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Bedenke aber, dass HASHBYTES soweit ich das sehe eine MSSQL-Funktion ist. Auf anderen Datenbanken wie MySQL steht das so nicht zur Verfügung. Deshalb würde ich hier eher den Hash im Programm generieren und mich nicht auf einen Datenbank festlegen.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL?

Na einfach genauso:

"SELECT FROM userdata WHERE username = "+username+" AND password = 'HASHBYTES('SHA2_256', "+input_password+")'"

SQL injection ist mir natürlich bewusst, aber da fange ich illegale Charakter gleich bei der Eingabe ab ;)

Wenn du mit „der Eingabe“ meinst, dass du es im Formular oder in der App abfängst, dann ist das zwar schon ok, reicht aber nicht aus. Gerade wenn Daten über Web-Formulare oder Request kommen, können die natürlich nach Belieben manipuliert werden. Traue niemals externen Daten!

Woher ich das weiß:Berufserfahrung – Entwickle Anwendungen für iOS, iPadOS und macOS beruflich.

CrazyChicken334

Fragesteller

04.07.2022, 10:39

Ui OK Danke für die großartige Antwort!

Meine Database ist eine MySQL also kann ich die HASHBYTES eigentlich gleich wieder vergessen, oder? :/

Hättest du eventuell ein funktionierendes Beispiel zum String hashen (am besten SHA-256) -ich glaube das reicht aus, oder?- in Java?

(Ich weiß garnicht wie ich da anfangen soll 👀 ich finde Java manchmal unnötig Aufwendig.)

Babelfish

04.07.2022, 10:46

@CrazyChicken334

Meine Database ist eine MySQL also kann ich die HASHBYTES eigentlich gleich wieder vergessen, oder? :/

In MySQL wäre die Funktion:

SHA2('abc', 256)

Hättest du eventuell ein funktionierendes Beispiel zum String hashen (am besten SHA-256) -ich glaube das reicht aus, oder?- in Java?

Also Java ist auch nicht meine Baustelle aber eine Google-Suche liefert u.a. das hier:

https://www.techiedelight.com/generate-sha-256-hashcode-java/

CrazyChicken334

Fragesteller

04.07.2022, 11:29

@Babelfish

Danke! :D

Also kann ich eigentlich beides mit MySQL machen und muss es nicht wirklich in Java machen, oder? :D

Was ist ein zufälliger Salt? 🤔

Babelfish

04.07.2022, 11:52

@CrazyChicken334

Also kann ich eigentlich beides mit MySQL machen und muss es nicht wirklich in Java machen, oder? :D

Ich würde davon abraten, es mit den Datenbank-Funktionen zu machen. Das Ergebnis kann je nach Datenbank und Version unterschiedlich sein und damit die ganze Nutzertabelle unbrauchbar werden. Außerdem wird es mit einem Salt schon schwieriger umzusetzen.

Was ist ein zufälliger Salt?

Suche einfach mal nach den Begriffen „password hash salt rainbow tables“.

Den Salt speicherst du üblicherweise in einer extra Spalte der Datenbanktabelle.

Wie schon gesagt, ist Java nicht meine Baustelle aber hier sind ein paar Beispiele, wie das mit einem Salt funktioniert:

https://howtodoinjava.com/java/java-security/how-to-generate-secure-password-hash-md5-sha-pbkdf2-bcrypt-examples/

orochi02

04.07.2022, 19:10

@CrazyChicken334

sha ist absolut nicht ausreichend (aber besser als nix)

wenn es dir halbwegs wichtig ist, gibt es eine bcrypt implementierung für java

CrazyChicken334

Fragesteller

04.07.2022, 11:50

"SELECT * FROM userdata WHERE username = "+username+" AND password = 'HASHBYTES('SHA2_256', "+input_password+")'"

Achsoo

IG Vergleiche also direkt den Wert als hash mit dem realpasswort als hash mit SQL und quasi nicht mit == in Java :D macht sogar Sinn! :)

Nur was mache ich, wenn es einen Fehler gibt, wie fange ich den dann ab? (es ist als return function login() gedacht)

Babelfish

04.07.2022, 11:54

@CrazyChicken334

Welchen Fehler soll es denn geben? Du findest entweder einen Nutzer mit diesem Nutzernamen und diesem Password-Hash oder du findest keinen. Im ersten Fall kann der Nutzer angemeldet werden und im zweiten gibst du eine Fehlermeldung aus, dass die Login-Daten nicht stimmen.

CrazyChicken334

Fragesteller

04.07.2022, 12:15

@Babelfish

Achso, also kann ich quasi mit ner try and catch probieren die daten zu getten, und wenn keine daten da sind würde es nen error geben, und den catche ich :)

Babelfish

04.07.2022, 12:47

@CrazyChicken334

Nein, eigentlich nicht. Du holst Daten über einen Datenbank und bekommst x Datensätze zurück. Bei dir kann x nur 1 oder 0 sein. Wird ein Nutzer mit diesem Passwort gefunden, wird ein Datensatz mit diesem Nutzer zurückgegeben. Wird kein Nutzer gefunden, wird eben kein Datensatz geliefert. Das musst du dann einfach über die entsprechenden Funktionen in Java auswerten. Ein Error wird da aber nicht geworfen.

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

...zur Frage

Ist es schlau ein Hash wieder zu hashen?

z.B. SHA256(SHA256(string))

...zur Frage

Warum kommt bei Linux md5 hashen ein anderer Wert raus als online?

Wenn ich beispielsweise einegebe

"Password" | md5sum

Kommt ein anderer Hash raus, als im online Generator. Warum ist das so und wie kann ich dem entgegenwirken? Danke im Voraus.

...zur Frage

$servername bei Domainfactory findex?

Hallo,

ich brauche um eine Verbindung mit der Datenbank(sql) $servername, $username und $password. $username und $password habe ich bereits jedoch scheitert es bei dem $servername.

Kann mir jemand helfen wo ich den bei Domainfactory finden kann ?

Mfg

...zur Frage

C# User Login: Passwort-Hash vergleichen?

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

...zur Frage

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zur Frage

Liste in SQL Datenbank speichern?

Hallo, ist es möglich in einer MySQL Datenbank eine Liste von Objekten also z.b. eine String Liste in einer Zeile einer Datenbank zu speichern?

Also z.b. die Java String Liste

List<String> list = new ArrayList<>();

in eine Spalte einer SQL Datenbank zu bringen und diese Liste natürlich danach auch wieder abrufen können?

Also welchen "Wert" müsste diese Liste haben (also int, varchar, text, etc) und wie gehen die Befehle um eine Liste darin zu speichern und eben wieder abzurufen?

...zur Frage

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

HTML window.location.href geht nicht?

https://streamable.com/9pfpva

Ich weiss nicht genau wo hier der Fehler ist aber er leitet nicht beim richitgen namen und passwort weiter? Weiß jemand woran das liegt? Ich bin relativ am anfang mit html.

    <script>
        document.addEventListener('DOMContentLoaded', function() {
            function login() {
                var username = document.getElementById('username').value;
                var password = document.getElementById('password').value;


                if (username === 'test123' && password === 'test') {
                    window.location.href = 'http://www.google.com';
                } else {
                    alert('Ungültiger Benutzername oder falsches Passwort.'); // Fehlermeldung bei ungültigen Daten
                }
                return false;
            }


            var loginButton = document.getElementById('loginButton');
            loginButton.addEventListener('click', login);
        });
    </script>

...zur Frage

Mehrere INSERT INTO hintereinander?

Hallo, ich habe das Problem, dass ich Datensätze in zwei Tabellen gleichzeitig eintragen muss, jedoch funktioniert dies nicht und es wird nichts eingetragen. Ich habe schon vieles ausprobiert z.B. die Statements durch Semikolon oder Kommata zu trennen oder sie einfach so stehen lassen.

Hier mein Code:

   $user_type = e($_POST['user_type']);
     $query = "INSERT INTO tlogin (Login, Status, Passwort, Name) 
VALUES('$username', '$user_type', '$password', '$name')
               INSERT INTO tkunde (Name1)
               VALUES('$vorname')";
     mysqli_query($db, $query);
     $_SESSION['success']  = "New user successfully created!!";
     header('location: home.php');
 }else{
     $query = "INSERT INTO tlogin (Login, Status, Passwort, Name)
VALUES('$username', 'user', '$password', '$name')
               INSERT INTO tkunde (Name1)
               VALUES('$vorname')";
     mysqli_query($db, $query);

Danke schonmal für die Hilfe ^^

...zur Frage

PHPSESSID Cookie nach reload löschen?

Hallo, ich habe ein Problem mit meinem php code. Immer wenn ich meine Login Seite öffne, mich anmelde, aber dann wieder zurück auf die login seite gehe kommt nur das:

funktioniert dann erst wieder wenn man manuell die cookies löscht. Wie kann ich es hinbekommen, dass die cookies automatisch bei einem reload der Seite wieder gelöscht werden? Danke schonmal

Ach ja hier ist noch der php code:

<?php
      if(isset($_POST['submit'])){
        $username = $_POST['username']; $password = $_POST['password'];
        if($username === 'admin' && $password === 'password'){
          $_SESSION['login'] = true; header('LOCATION:https://example.de'); die();
        } {
          echo "<div class='alert alert-danger'>Username and Password do not match.</div>";
        }
      }
?>

...zur Frage

Ist dieser Code Safe?

Hallo, ich programmiere derzeit ein Login System in Unity mit PHP wollte fragen ob der Code Safe ist LG

    $email = $_POST["email"];
    $password = $_POST["password"];


    // Daten aus der Datenbank abrufen
    $sql = "SELECT * FROM users WHERE email = '$email'";
    $result = $conn->query($sql);


    if ($result->num_rows > 0) {


        $row = $result->fetch_assoc();


        $hashedPassword = $row["password"];
        
        if (password_verify($password, $hashedPassword)) {
            $errors[] = "0"; // Erfolgscode für erfolgreichen Login
        } else {
            $errors[] = "401"; // Fehlercode für ungültige Anmeldeinformationen
        }
    }else{
        $errors[] = "303";
    }

...zur Frage

Wie kopiere ich den Text einer json Datei und füge diesen in eine E-Mail ein mit Java?

Ich habe hier eine Java Datei die auf eine andere zugreift welche sich mit den Gmail Servern verbindet... . Jetzt wollte ich gerne das beim ausführen, der text einer json Datei in der Email eingefügt wird. Mir wäre es egal ob die Datei als Anhang oder als Text auftaucht.

package Datei;

public class StartMailSender {

public static void main(String[] args) {

String username = "Email";

String password = "Passwort";

MailSender sender = new MailSender();

sender.login("smtp.gmail.com", "465", username, password);

try {

sender.send("Email-absender", "Name", "Email Empfänger", "Datei", (Text der aus der json Datei)

);

} catch (Exception e) {

e.printStackTrace();

}

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen