Beiträge von lolman

Was brauchst Du da denn noch?
Forumular hast Du, die komplette Auslese auch.

Gruß,
Dein lolman

Ok, und sonst ist das Teil sicher?

Vielen Dank,
Euer lolman

@RMB:
Nein, die Variablen sind ja schon vorhanden da im Formular per Post übermittelte Eingabefeldernamen etc. schon direkt eine Variable gleichen Namens zugeordnet wird - hier eben $username und $passwort.

webcool:
Ja, diesen Text las ich auch, nur ist dort ja eine ganz andere Situation gegeben, nämlich dass die übermittelten Daten direkt in die Datenbankanfrage eingefügt werden - hier werden sie nur mit der Datenbankabfrage verglichen.
Zu der configdatei sollte ich vll noch sagen, dass diese sihc in einem Ordner namens "config" in der Datei config.php befindet.
Wie kann man denn das ausnutzen wenn die Rechte auf 777 stehen würden?
Kann mann sie dann einfach mit fsockopen(); und der kompletten Pfadangabe (http://etc.) öffnen?

Vielen Dank schonmal,
Euer lolman

Aber jerne doch - ich versende sie per Post - nächsten Tag ist dann der Postbote da und wirft sie in den Briefkasten des Servers

Das Formular muss ich ja nicht weiter, oder?
oder!

<form action="datei2.php" method="POST">
<input type="text" size="20" name="username">


 <input type="password" size="20" name="passwort">
</form>

Vielen Dank schonma,
Euer lolman

Moin moin,
mir hat ein kleiner Programmierer ein ebenso kleiens Script geschrieben.
Nun wollte ich gerne einmal wissen ob das was der kleine Programmierer geschrieben hat auch wirklich sicher ist, weswegen ich heir meine Frage an Euch richte
Es handelt sich um einen Adminlogin.
Die entsprechenden Teile hier in aller Kürze:

1) Loginformular für den Admin welches in den Variablen $username den Usernamen und in $passwort das Passwort an folgende Datei sendet:

2) Datei die eben genanntes ausliest, eien DB-Abfrage macht und bei Korrektheit der Daten etwas ausgibt:

$daten=mysql_query("select * from user ORDER BY punkte");


$check = "SELECT adminname FROM setup WHERE daten LIKE 'daten'";
$check2 = mysql_query($check);
$check3 = mysql_fetch_object($check2);


$pwd = "SELECT adminpasswort FROM setup WHERE daten LIKE 'daten'";
$pwd2 = mysql_query($pwd);
$pwd3 = mysql_fetch_object($pwd2);


if ($username == $check3->adminname AND $passwort == $pwd3->adminpasswort)
{


--Entsprechende erfolgverheißende Meldung für den Admin und eine Datenausgabe folgender Art:


while($row = mysql_fetch_array($daten)) {
--Ausgabe


--und natürlich werden alle Klammern geschlossen


}}

Könnte es nun sein, dass sobald der böse Mann, sobald er diesen Schnipsel sieht, zu meiner Seite rennt und dreist in meinen Adminbereich eindringt?
Verzeiht mir, ich bin nicht so bewand in PHP und die entsprechenden Threads für SQL-injections brachten mir nciht viel da diese immer voraussetzten dass die übergeben Variable des Loginscriptes direkt im Query weietrverwendet wird, hier werden erst die Daten ausgelesen und dann mit der Eingabe verglichen - scheinbar ideal mag ich denken, doch ich frage lieber noch einmal jemanden der es besser weiß

Gruß & Thx,
Euer lolman