1.1.2 Скрипт регистрации

Есть ли такой скрипт регистрации которой заносит информацию о пользователе в основные таблицы (xf_user, xf_user_authenticate) и дублирует логин с зашифрованным паролем в отдельную таблицу и что бы пароль дублирующийся в другую таблицу хешировался в MD5

 

Нет, наверное. Просто задача какая-то странная...

 

а как-нибудь дополнительную регистрацию можно вставить?

 

Так ведь вопрос в том, зачем нужна дополнительная регистрация, когда есть нормальная дефолтная регистрация, которую при необходимости можно использовать для аутентификации. Если нужно сделать мост, то смотрите уже готовые варианты, а также соответствующие темы.

 

скрипт авторизации который я использую нормально работает только с MD5 хешированием. Так-то скрипт поддерживает хеширование от xenforo, но почему-то не работает
Вот php код:

PHP:

<?php
define('INCLUDE_CHECK',true);
include("connect.php");
include("settings.php");
$login=$_GET['user'];
$postPass=$_GET['password'];
$client=$_GET['client'];
$action=$_GET['action'];
$serial=$_GET['serial'];
$delimiter = '#';
 
if($action == 'auth' || $action == 'getpersonal' || $action == 'activatebonus' || $action == 'activatekey' || $action == 'uploadskin' || $action == 'exchange')
if(auth($login,$postPass,$serial,$crypt) == false) die("Ошибка авторизации (Логин, пароль, компьютер)");
 
if($action == 'activatebonus' || $action == 'exchange' || $action == 'getpersonal')
{
$row = mysql_fetch_assoc(mysql_query("SELECT username,balance FROM iconomy WHERE username='$login'"));
if($row['balance']) $iconregistered = true;
else $iconregistered = false;
}
 
if($action == 'auth')
{
$sessid = generateSessionId();
$md5jar=md5(file_get_contents($client."/bin/minecraft.jar"));
$md5lwjql=md5(file_get_contents($client."/bin/lwjgl.jar"));
$md5lwjql_util=md5(file_get_contents($client."/bin/lwjgl_util.jar"));
$md5jinput=md5(file_get_contents($client."/bin/jinput.jar"));
mysql_query("UPDATE $db_table SET $db_columnSesId='$sessid' WHERE $db_columnUser = '$login'") or die (mysql_error());
$dlticket = md5($login);
echo $md5jar.'<:>'.$md5lwjql.'<:>'.$md5lwjql_util.'<:>'.$md5jinput.'<:>'.$masterversion.'<br>'
.$dlticket.'<:>'.$login.'<:>'.$sessid.'<br>';
$useSlash = false;
$colMods = 0;
$files = scandir($client."/mods");
for($i=0; $i < sizeof($files); $i++)
{
if(substr($files[$i], -4) == ".zip" || substr($files[$i], -4) == ".jar")
{
if($useSlash) echo "<:>";
echo $files[$i].":>".md5(file_get_contents($client."/mods/".$files[$i]));;
$useSlash = true;
$colMods++;
}
}
if($colMods == 0) echo "nomods";
} else
 
if($action == 'getmasterversion') echo $masterversion; else
if($action == 'getsettings') echo $launcherTitle.$delimiter.$masterversion.$delimiter.$useOnlineTheme; else
if($action == 'getserverstatus') include('status.php'); else
if($action == 'registeraccount' && $crypt == "hash_launcher")
{
$repass = $_GET['repasswd'];
$email = $_GET['email'];
$serial = $_GET['serial'];
 
if(empty($login) || empty($postPass) || empty($repass) || empty($email)) echo 'Не все поля заполнены';
elseif(ereg("[^0-9a-zA-Z_-]", $login, $Txt)) echo "Логин введен не корректно";
else
{
$login_proverka = mysql_query("SELECT $db_columnUser FROM $db_table WHERE $db_columnUser='$login'") or (mysql_error());
$serial_proverka = mysql_query("SELECT $db_columnSerial FROM $db_table WHERE $db_columnSerial='$serial'") or (mysql_error());
if (mysql_num_rows($login_proverka)) echo "Акаунт '".$login."' уже существует";
elseif((strlen($login) < 4) or (strlen($login) > 15)) echo "Логин должен содержать не меньше 4 символов и не больше 15";
elseif($postPass != $repass) echo "Пароли не совпадают";
elseif(mysql_num_rows($serial_proverka) && $serial != "NOT_CALCULATED" && $useMACHook) echo "С данного компьютера уже была регистрация";
else
{
$cp = md5($postPass);
mysql_query("INSERT INTO $db_table ($db_columnUser,$db_columnPass,$db_columnEmail,$db_columnMoney,$db_columnSerial) VALUES('$login','$cp','$email','$initialMoney','$serial')") or die (mysql_error());
echo "success";
}
}
} else
 
if($action == 'getpersonal')
{
$row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnMoney,$db_columnEmail,$db_columnBonusTime FROM $db_table WHERE $db_columnUser='$login'"));
$realmoney = $row[$db_columnMoney];
$email = $row[$db_columnEmail];
 
$realBonus = $row[$db_columnBonusTime];
$time = time();
$bonustime = (time() + 86400);
if($time < $realBonus) $canUseBonus = "false";
else $canUseBonus = "true";
 
if($iconregistered)
{
$row = mysql_fetch_assoc(mysql_query("SELECT username,balance FROM iconomy WHERE username='$login'"));
$iconmoney = $row['balance'];
} else $iconmoney = "0.0";
 
echo $realmoney."<:>".$canUseBonus."<:>".$voteUrl."<:>".$voteImageUrl."<:>".$iconmoney."<:>".$priceByIconMoney;
} else
 
if($action == 'activatebonus')
{
$row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnBonusTime FROM $db_table WHERE $db_columnUser='$login'"));
$realBonus = $row[$db_columnBonusTime];
$time = time();
$bonustime = (time() + 86400);
if($time < $realBonus) die("Вы уже получали бонус");
if(!$iconregistered) die("Вас нет в базе IConomy");
mysql_query("UPDATE iconomy SET balance = balance + $bonusSize WHERE username='$login'");
if($iconregistered)
$row = mysql_fetch_assoc(mysql_query("SELECT username,balance FROM iconomy WHERE username='$login'"));
$iconmoney = $row['balance'];
mysql_query("UPDATE `$db_table` SET $db_columnBonusTime=$bonustime WHERE $db_columnUser='$login'");
echo "success:".$iconmoney;
} else
 
if($action == 'activatekey')
{
$key = $_GET['key'];
$row = mysql_fetch_assoc(mysql_query("SELECT * FROM `$db_tableMoneyKeys` WHERE `$db_columnKey` = '$key'"));
$amount = $row[$db_columnAmount];
if($amount)
{
mysql_query("UPDATE `$db_table` SET $db_columnMoney = $db_columnMoney + $amount WHERE $db_columnUser='$login'");
mysql_query("DELETE FROM `$db_tableMoneyKeys` WHERE `$db_columnKey` = '$key'");
$row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnMoney FROM $db_table WHERE $db_columnUser='$login'"));
$money = $row[$db_columnMoney];
echo "success:".$money;
} else echo "badkey";
} else
 
if($action == 'uploadskin')
{
if(!is_uploaded_file($_FILES['ufile']['tmp_name'])) die("Файл не выбран");
$imageinfo = getimagesize($_FILES['ufile']['tmp_name']);
if($imageinfo['mime'] != 'image/png' || $imageinfo["0"] != '64' || $imageinfo["1"] != '32') die("Этот файл не является файлом скина");
 
$uploaddir = 'skins/';
$uploadfile = $uploaddir.$login.".png";
 
if(move_uploaded_file($_FILES['ufile']['tmp_name'], $uploadfile)) echo "success";
else echo "Ошибка загрузки файла";
} else
 
if($action == 'exchange')
{
$wantbuy = $_GET['buy'];
$gamemoneyadd = ($wantbuy * $priceByIconMoney);
$row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnMoney FROM $db_table WHERE $db_columnUser='$login'"));
$query = $row[$db_columnMoney];
 
if($wantbuy == '' || $wantbuy < 1) die("Вы не ввели сумму!");
if(!$iconregistered) die("Вас нет в базе IConomy");
if($query >= $wantbuy)
{
mysql_query("UPDATE iconomy SET balance = balance + $gamemoneyadd WHERE username='$login'");
mysql_query("UPDATE $db_table SET $db_columnMoney = $db_columnMoney - $wantbuy WHERE $db_columnUser='$login'");
 
$row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnMoney FROM $db_table WHERE $db_columnUser='$login'"));
$money = $row[$db_columnMoney];
 
$row = mysql_fetch_assoc(mysql_query("SELECT username,balance FROM iconomy WHERE username='$login'"));
$iconmoney = $row['balance'];
 
echo "success:".$money.":".$iconmoney;
} else die("У вас недостаточно средств!");
}
 
function generateSessionId()
{
srand(time());
$randNum = rand(1000000000, 2147483647).rand(1000000000, 2147483647).rand(0,9);
return $randNum;
}
 
function hash_xauth()
{
global $realPass, $postPass;
$cryptPass = false;
$saltPos = (strlen($postPass) >= strlen($realPass) ? strlen($realPass) : strlen($postPass));
$salt = substr($realPass, $saltPos, 12);
$hash = hash('whirlpool', $salt . $postPass);
$cryptPass = substr($hash, 0, $saltPos) . $salt . substr($hash, $saltPos);
return $cryptPass;
}
 
function hash_md5()
{
global $postPass;
$cryptPass = false;
$cryptPass = md5($postPass);
return $cryptPass;
}
 
function hash_launcher()
{
global $postPass;
$cryptPass = false;
$cryptPass = md5($postPass);
return $cryptPass;
}
 
function hash_dle()
{
global $postPass;
$cryptPass = false;
$cryptPass = md5(md5($postPass));
return $cryptPass;
}
 
function hash_cauth()
{
global $realPass, $postPass;
$cryptPass = false;
if (strlen($realPass) < 32)
{
$cryptPass = md5($postPass);
$rp = str_replace('0', '', $realPass);
$cp = str_replace('0', '', $cryptPass);
(strcasecmp($rp,$cp) == 0 ? $cryptPass = $realPass : $cryptPass = false);
}
else $cryptPass = md5($postPass);
return $cryptPass;
}
 
function hash_authme()
{
global $realPass, $postPass;
$cryptPass = false;
$ar = preg_split("/\\$/",$realPass);
$salt = $ar[2];
$cryptPass = '$SHA$'.$salt.'$'.hash('sha256',hash('sha256',$postPass).$salt);
return $cryptPass;
}
 
function hash_joomla()
{
global $realPass, $postPass;
$cryptPass = false;
$parts = explode( ':', $realPass);
$salt = $parts[1];
$cryptPass = md5($postPass . $salt) . ":" . $salt;
return $cryptPass;
}
 
function hash_ipb()
{
global $postPass, $salt;
$cryptPass = false;
$cryptPass = md5(md5($salt).md5($postPass));
return $cryptPass;
}
 
function hash_xenforo()
{
global $postPass, $salt;
 
$cryptPass = false;
$cryptPass = hash('sha256', hash('sha256', $postPass) . $salt);
 
return $cryptPass;
}
 
function hash_wordpress()
{
global $realPass, $postPass;
$cryptPass = false;
$itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';
$count_log2 = strpos($itoa64, $realPass[3]);
$count = 1 << $count_log2;
$salt = substr($realPass, 4, 8);
$input = md5($salt . $postPass, TRUE);
do $input = md5($input . $postPass, TRUE);
while (--$count);
$output = substr($realPass, 0, 12);
$count = 16;
$i = 0;
do
{
$value = ord($input[$i++]);
$cryptPass .= $itoa64[$value & 0x3f];
if ($i < $count) $value |= ord($input[$i]) << 8;
$cryptPass .= $itoa64[($value >> 6) & 0x3f];
if ($i++ >= $count) break;
if ($i < $count) $value |= ord($input[$i]) << 16;
$cryptPass .= $itoa64[($value >> 12) & 0x3f];
if ($i++ >= $count) break;
$cryptPass .= $itoa64[($value >> 18) & 0x3f];
} while ($i < $count);
 
$cryptPass = $output . $cryptPass;
return $cryptPass;
}
 
function hash_vbulletin()
{
global $postPass, $salt;
$cryptPass = false;
$cryptPass = md5(md5($postPass) . $salt);
return $cryptPass;
}
 
function hash_drupal()
{
global $postPass, $realPass;
$cryptPass = false;
$setting = substr($realPass, 0, 12);
$itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';
$count_log2 = strpos($itoa64, $setting[3]);
$salt = substr($setting, 4, 8);
$count = 1 << $count_log2;
$input = hash('sha512', $salt . $postPass, TRUE);
do $input = hash('sha512', $input . $postPass, TRUE);
while (--$count);
 
$count = strlen($input);
$i = 0;
 
do
{
$value = ord($input[$i++]);
$cryptPass .= $itoa64[$value & 0x3f];
if ($i < $count) $value |= ord($input[$i]) << 8;
$cryptPass .= $itoa64[($value >> 6) & 0x3f];
if ($i++ >= $count) break;
if ($i < $count) $value |= ord($input[$i]) << 16;
$cryptPass .= $itoa64[($value >> 12) & 0x3f];
if ($i++ >= $count) break;
$cryptPass .= $itoa64[($value >> 18) & 0x3f];
} while ($i < $count);
$cryptPass = $setting . $cryptPass;
$cryptPass = substr($cryptPass, 0, 55);
return $cryptPass;
}
 
function auth()
{
global $login,$postPass,$serial;
include("connect.php");
if ($crypt == 'hash_md5' || $crypt == 'hash_authme' || $crypt == 'hash_xauth' || $crypt == 'hash_cauth' || $crypt == 'hash_joomla' || $crypt == 'hash_wordpress' || $crypt == 'hash_dle' || $crypt == 'hash_launcher')
{
$query = mysql_query("SELECT $db_columnUser,$db_columnPass,$db_columnSerial FROM $db_table WHERE $db_columnUser='$login'") or die(mysql_error());
$row = mysql_fetch_assoc($query);
$realPass = $row[$db_columnPass];
} else if ($crypt == 'hash_ipb' || $crypt == 'hash_vbulletin')
{
$row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnPass,$db_columnSalt,$db_columnSerial FROM $db_table WHERE $db_columnUser='$login'"));
$realPass = $row[$db_columnPass];
$salt = $row[$db_columnSalt];
} else if($crypt == 'hash_xenforo')
{
$row = mysql_fetch_assoc(mysql_query("SELECT $db_table.$db_columnId,$db_table.$db_columnUser,$db_table.$db_columnSerial,$db_tableOther.$db_columnId,$db_tableOther.$db_columnPass FROM $db_table, $db_tableOther WHERE $db_table.$db_columnId = $db_tableOther.$db_columnId AND $db_table.$db_columnUser='$login'"));
$realPass = substr($row[$db_columnPass],22,64);
$salt = substr($row[$db_columnPass],105,64);;
}
$realserial = $row[$db_columnSerial];
if(!$realPass) return false;
$checkPass = $crypt();
if(!strcmp($realPass,$checkPass) == 0) return false;
if((!empty($serial) && strcmp($serial,$realserial) == 0) || $useMacOnEnter == false) return true;
return false;
}
?>


 

Эм.. Хотя бы тегом code бы обрамили. Ну да ладно.
У ксена есть класс, который отвечает за аутентификацию. Он без проблем позволяет работать с различными методами шифрования. Те же пароли из булки без проблем работают без необходимости генерации новых.
Ладно. А Вы проверяли, что оказывается в поле $row[$db_columnPass]? Возможно, там что-то не в том виде, не с тем смещением и т.д.
По идее функция вроде правильная. Только еще один нюанс. У Вас в скрипте жестко задана функция sha256, тогда как она может быть и sha1. Также в ксеновской базе могут одновременно использоваться различные методы шифрования. Т.е. в одной таблице один пользователь может аутентифицироваться по дефолтному методу ксена, а другой пользователь (после импорта обычно) - по булковскому методу.
В общем Вам нужно просто отладить скрипт и посмотреть, что откуда берется. Так-то скрипт на первый взгляд корректный, но не учитывает некоторые нюансы.

 

Только вот от SQL injection нифига не защищенный.

 

Ну там вообще жесткий кодинг. Видимо, тот, кто писАл, не напрягался хоть какой-то оптимизацией и секурностью.