PHP Passwortabfrage funktioniert nicht

[obilaner]

Hallo.

Ich habe eine einfache Funktion geschrieben für ein paar Benutzergalerien mit Passwortgeschützten Fotos. Aus irgendeinem Grund funktioniert die einfachste if / == abfrage nicht. Ich frage das Passwort ab und nach dem 2x aufrufen der Funktion kommt jedesmal das das Passwort stimmen würde, egal was man eingibt.

Siehe Foto

Kann mir einer sagen wo der Fehler liegt?

 

[madmax2010]

posteden code doch ml bitte in eienr code box, so, dass man ihn kopieren und editieren kann..
Sicher, dass du md5 willst?
wo und wie wird das PW in die datenbank gelegt? hast du mal ausgegeben, was da verglichen wird?
Was machst du, wenn das "if" nicht matched?
hast du verifiziert, dass die query dir zurueck gibst, was du habenwillst?

du bist mit dem aktuellen code anfallig fuer SQL Injections

 

[obilaner]

PHP:

include("../db.php");
if(isset($_POST["Passwort"])){
    $whatgal = md5($_POST["Passwort"]); //Richtiges PW: Fischheringstrasse
    $wogal = $_POST["GalerieId"];
    $selectgallerie = "SELECT * FROM `u_benutzergalerien` WHERE `Galerieid` = '$wogal'";   
    $readgallery = $dbconn -> query($selectgallerie);
    while($reihe = $readgallery -> fetch_assoc()){
        if($wogal == $reihe["Galerieid"]){
            if($whatgal == $reihe["Passwort"]){
                echo "Passwort richtig";
            }
        }
       
    }
}

JS:

function checkpwgalleries(vallu){
     var checkpwd = $("#"+vallu).val();
     $.post("module/base_galerie_wrk.php", {GalerieId: vallu, Passwort: checkpwd}, function(response){
          //var datastream = JSON.parse();
          alert(response);
     });
}

Ergänzung (25. September 2023)

In der DB ist ein Hash eines Passworts hinterlegt, das ich vorerst mit einem md5 generator erzeugt habe

Die beiden sind identisch und verglichen.

Bisher hab ich noch kein else statement geplant.
Ich wollte über json 2 Datenfelder zurücksenden an JS. Eines mit der info ob der abgleich erfolg hatte als bool und einmal den HTML Code zurück, falls die abfrage erfolgreich war. In JS wollte ich danach abfragen ob der check erfolgreich war und dort dann 'Passwort falsch' ausgeben oder das HTML für das darstellen der Galerieseite zurücksenden

Ergänzung (25. September 2023)

Nachtrag (Das angeforderte Bild )

 

[Rexaris]

Was kommt raus wenn du

 echo $whatgal;

eingibst und einmal ein richtiges und einmal ein falsches PW eingibst?

und lies dir mal bitte dieses hier durch:
https://www.php.net/manual/en/faq.passwords.php

 

[obilaner]

Habe dir 3 Screenshots gemacht...
Habe einmal das richtige Passwort 'Fischhering' und danach 2x 'Wurstsalat' eingegeben. Beim zweiten mal ist auch das korrekt. (?! )

Ergänzung (25. September 2023)

Habe auch mal innerhalb der Funktion versucht einfach so zwei strings an der selben stelle zu vergleichen. Das klappt durchgehend wie es soll.

Auch die Abfrage ob die Galerieid mit der aus der DB übereinstimmt erfolgt immer richtig

Ergänzung (25. September 2023)

Edit: Gut, ich habe dieses Problem umgangen, indem ich die Passwortabfrage in eine seperate neue PHP Datei ausgelagert habe

Aber das Urproblem erklärt es noch nicht.

Dinge über die ich noch nicht soviel Bescheid weiss die ich ignoriert habe im Aufbau der Datei sind die unglaublich vielen SQL Anfragen die unter verschiedenen isset() bedingungen in klartext sql statements* in der selben datei liegen, sowie das ich nicht wirklich weiss wann ich eine mysql Verbindung wieder schliessen muss - wenn sie von 20 anfragen verwendet wurde, da ich diese einmalig in einer db datei öffne und sie mehrmals brauche.

Falls noch irgendjemand was einfällt wo der Fehler gelegen haben könnte (Die Datei besteht ja weiterhin, eventuell führt es noch zu anderen Fehlern die sich bisher nicht zeigen) bitte nur her damit

*Ich möchte erst im späteren drittel die Seite auf prepared Statements umstellen, weil ich zur zeit noch lerne beim schreiben und das zuviel impro und zu lernen wäre.