Du könntest statt $anzahl == 1 einfach die Anfrage überprüfen, falls die ausgeführt wurde, also if ($ergebnis)... und Passwort mit MD5 verschlüsseln.
Habe ein kleines einlogg Script geschrieben.
Könntet ihr mir sagen ob das sicher ist?
Die Datei wird auf jeder Seite aufgerufen.
Die Links werden dann halt so geschrieben: index.php?sid=$sidPHP-Code:$ergebnis = mysql_query ( "SELECT * FROM mitwirkende WHERE username = '$username' AND passwort = '$passwort'" );
$anzahl = mysql_num_rows ( $ergebnis );
if ( ! $anzahl == 1 )
{
// Login falsch!!!
header ( "Location: ./login.php?fehler=login" );
}
elseif ( $anzahl == 1 )
{
// Login richtig!!!
session_start();
$sid = session_id();
$username = $data[username];
$user_id = $data[id];
}
Danke schonmal!
Du könntest statt $anzahl == 1 einfach die Anfrage überprüfen, falls die ausgeführt wurde, also if ($ergebnis)... und Passwort mit MD5 verschlüsseln.
Geändert von Strogij (20.06.2003 um 23:50 Uhr)
angenommen ich geb für passwort
an, dann, heisst di3e abfrage so:Code:irgendwas' OR 1 OR passwort = 'irgendwas
das gibt dann einige richtige ergebnisse, also muss ich hinten noch ein limit ranhängen, aber im prinzipiell manipulierbar. nennt sich mysql_injectioin und ist recht effektiv.Code:SELECT_*_FROM_mitwirkende_WHERE_username_= '$username'_AND_passwort_= 'irgendwas' OR 1 OR passwort = 'irgendwas'
ich empfehle http://de.php.net/manual/en/function...ape-string.php
die variablen einfach so zu nutrzen und nicht aus dem $_POST array asuszulesen macht bruteforce versuche leichter, weil die dann sogar über get und somit url gehen: index.php?username=username&passwort=passwort
und in der regel hinterlegt man passwörter verschlüsselt mittels http://de.php.net/manual/en/function.md5.php in der datenbank ab und vergleicht sie dann erst, nachdem man sie bei eingabe wieder verschlüsselt hat.
sonst ist das script super![]()
puh. da muss ich ja noch ziemlich viel ändern...
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)