[SOLVED] PHP/MySQL, Userauthentifizierung und Passwörter

Ich hab versucht eine simple Useranmeldung zu programmieren. Da ich mich mit der ganzen Password-Security aber nie beschäftigt hab, hab ich folgende Anleitung/Guideline benutzt:
http://alias.io/2010/01/store-…afely-with-php-and-mysql/

Passwörter verschlüsseln geht einwandfrei. Nur das Anmelden haut jetzt nicht so hin, wie ichs gern hätte
Folgender Code aus der Guide scheint mir fehlerbehaftet, aber ich weiß nicht wo ich ansetzen soll, weil ich noch nie mit objektorientierten Abfragen in MySQL gearbeitet hab :-/

$username = 'Admin';
$password = 'gf45_gdf#4hg';


$sth = $dbh->prepare('
  SELECT
	hash
  FROM users
  WHERE
	username = :username
  LIMIT 1
  ';


$sth->bindParam(':username', $username);


$sth->execute();


$user = $sth->fetch(PDO::FETCH_OBJ);


// Hashing the password with its hash as the salt returns the same hash
if ( crypt($password, $user->hash) == $user->hash ) {
  // Ok!
}

Erstmal glaub ich, dass hinter LIMIT 1' noch eine Klammer geschlossen gehört!
So .. da es jetzt also schonmal einen Typo in diesem Codeabschnitt gibt, bin ich schonmal verunsichert :-/
Geh ich richtig in folgender Annahme (hier verändert mit meinem eigenen Code):

// ich baue eine datenbankverbindung auf (was gut funktioniert)
$dbh = mysqli_connect($hostname,$username,$password,$database) or die("Error - can't open database!");


// dann will ich die daten auslesen 
$sth = $dbh->prepare('
  SELECT
	Password /* Das Passwort-Feld aus meiner Usertable */
  FROM ($usertable) /* der Name der Usertable in meiner Datenbank */
  WHERE
	User = :username /* Das Username-Feld aus meiner Usertable gefolgt von = :was?? */
  LIMIT 1 /* Nur der erste Eintrag mit Username wird ausgegeben. */
  ';
$sth->bindParam(':username', $User);


$sth->execute();


$user = $sth->fetch(PDO::FETCH_OBJ);


// Hashing the password with its hash as the salt returns the same hash
if ( crypt($password, $user->hash) == $user->hash ) {
  // Ok!
}

Ich krieg immer ein "Fatal error: Call to a member function bindParam() on a non-object in". Und bei Überpüfung der Variablen $sth kommt raus, dass sie bool(false) ist. Somit kein Objekt, ok. Aber WARUM ist sie false?

Jemand ne Idee?

Solved. Ich hab's jetzt herkömmlich ohne objektorientiertes MySQL gemacht, und das geht. Ich post meinen code morgen mal, ob das auch ok ist. Vielleicht kann mir Cyber da helfen

Aber wenn das entweder True oder False ist, kann bindParam ja gar nicht funktionieren!?
Ist das dann ein error in den Guidelines oder sind das nur vage Tipps und so nicht 1:1 verwendbar?
Na Wurscht. Ich hab eh schon eine Lösung, also macht's ja nix.

Ok. hier jetzt also meine Lösung:

Ich erstelle das Passwort wie im obigen Link angegeben, und speichere $hash und $salt in meiner MySQL-Datenbank.

Bei der Anmeldung übergeben ich $username und $password und mache dann folgendes:

$saltQuery = mysql_query("SELECT salt FROM $usertable WHERE username like '$username' ");
$line = mysql_fetch_assoc($saltQuery);
$hash = crypt($password, $line["salt"]);


  $result = mysql_query("SELECT * FROM $usertable WHERE username like '$username' AND hash like '$hash' ");
    if(mysql_num_rows($result) == 0) {
    $answer = '<center>Falscher Username oder<br />falsches Passwort!</center>';
    }
    else {
    ok!!
    }

Auf diese Art funktionierts. Aber: Ist das auch sicher? Ich hol mir erst das Salt des entsprechenden Users aus der Datenbank, und mach dann den selben Schritt mit "crypt($hash, $salt)" wie in der Generierung des Passwort-Hashes. Den gleiche ich dann mit dem in der Datenbank gespeicherten hash ab.

Noch eins: ist es normal, dass der Passwort-hash bei gleichen Passwörtern auch ident ist? Ich hab mehrere User testweise mit dem selben Passwort erstellt, und der hash war immer gleich! Das salt ist jedoch immer anders (logisch, das wird ja randomisiert).
Eigentlich sollte "crypt($hash, $salt)" doch einen hash auf basis des salts erstellen, und somit immer anders aussehen, selbst bei gleichem eingegebenen Passwort!
Was mach ich falsch?

Noch was getestet: das salt eines users funktioniert bei jedem anderen user auch! grad per phpMyAdmin in der Datenbank die salts rumgetauscht, und das anmelden geht noch immer ..
Das kann doch nicht so richtig sein, oder?? Das salt sollte doch einzigartig zur Entschlüsselung des Userpasswortes dienen, oder hab ich da was falsch verstanden??

Danke für den Input!

Also das salt sollte eigentlich randomized sein. Ich generiere es wie in der Guide auf alias.io beschrieben mit:

// A higher "cost" is more secure but consumes more processing power
$cost = 10;
// Create a random salt
$salt = strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), '+', '.');


// Prefix information about the hash so PHP knows how to verify it later.
// "$2a$" Means we're using the Blowfish algorithm. The following two digits are the cost parameter.
$salt = sprintf("$2a$%02d$", $cost) . $salt;
// Hash the password with the salt
$hash = crypt($password, $salt);

Desshalb schreib ichs dann in die Datenbank, weil ich ohne das spezielle salt ja sonst das zugehörige Passwort nicht mehr entschlüsseln kann (dachte ich jedenfalls).

Komischerweise sind aber die Passwort-hashes trotz unterschiedlicher salts bei gleichem Passwort auch ident! (also z.B. Passwort "hugo123" ergibt IMMER den hash "$2jC86XdlRvzV", obwohl das salt unterschiedlich ist!)
Wenn ich dann per phpMyAdmin mit den Salts herumjongliere (also das salt eines Users durch das salt eines anderen Users ersetze) kann ich mich TROTZDEM anmelden, als ob das salt für die encryption des hashes eigentlich irrelevant wäre! Ersetze ich das salt bei einem User aber durch einen beliebigen string (z.b. "abcdefgh") geht das anmelden nicht mehr. Also IRGENDWAS steckt da drin, nur blick ich nicht durch, was :-))

Dein Vorschlag mit einem zentralen salt gefällt mir aber sehr gut. Mir ists eh lieber, das steht nicht in der Datenbank. Werde ich also mal machen.