Hi!

Natürlich sollen die Passwörter möglichst "sicher" sein, deshalb werden sie mit md5 verschlüsselt.

MD5 ist keine Verschlüsselung sondern eine Hashwert-Berechnung. Idealerweise ist diese Berechnung nicht umkehrbar.

Wenn ich in die Datenbank schaue, und die mit MD5 verschlüsselten Passwwörter in "normale" Wörter ändere, kann ich mich ganz normal einloggen.

Im DBMS stehen keine "verschlüsselten Passwörter" sondern da steht eine Zeichenfolge. Die hat irgendwer vor einiger Zeit mal errechnen lassen, aber das ist zum Zeitpunkt des Logins uninteressant.

Also müssten wahrscheinlich die Passwörter vor dem Auslesen aus der Datenbank noch einmal entschlüsselt werden? Oder habe ich einen anderen Fehler gemacht?

Wenn du die im DBMS stehende Zeichenfolge mit einer anderen Zeichenfolge vergleichen willst, dann musst du das genauso tun.

Wenn die ürsprüngliche Zeichenfolge mit einem Algorithmus geändert worden ist (MD5), dann musst du eine neue Zeichenfolge, die du damit vergleichen willst, ebenfalls mit dem gleichen Algorithmus ändern und dann den Vergleich zwischen den beiden geänderten Werten vornehmen, also die jeweiligen MD5-Werte miteinander vergleichen.

Lo!