Warnung: file_put_contents(/home/www/web1/html/php_dev/test.txt) [function.file-put-contents]: failed to open stream: Permission denied in /home/www/web1/html/php_dev/sys/lib.activity.php (Zeile 58)
Wie aktuell und sicher ist das LoginScript-Tutorial von mrhappiness? [Archiv] - PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr
ebiz-consult PHP Entwicklung
- Ad -
php-resource



PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen :
Wie aktuell und sicher ist das LoginScript-Tutorial von mrhappiness?

 
Londrag
17-03-2008, 21:06 
 
Da das Tutorial (http://php-resource.de/tutorials/read/38/1/) nun doch schon einige Jahre alt, würde es mich interessieren ob das Tutorial noch up to date ist, auch was die Sicherheit angeht.
Kann man das ohne bedenken noch so anwenden wie es da steht?
 
Manko10
17-03-2008, 21:22 
 
An sich ja. Das Tutorial geht allerdings nicht auf das sehr, sehr wichtige und kritische Thema der *SQL Injections* ein. Bitte informiere dich darüber.
Ansonsten sehe ich keine Grund, es nicht zu benutzen.
 
Griecherus
17-03-2008, 23:03 
 
Hm, ich würde dem eventuell mehr Nachdruck verleihen: Das Script, wie du es im Tutorial findest, weißt durchaus eine große Sicherheitslücke auf. Nämlich - wie schon erwähnt - SQL Injections. Hast du die gefunden und geschlossen, solltest du das Script bedenkenlos benutzen können.

Grüße
 
Londrag
18-03-2008, 10:44 
 
Vielen Dank.

Würde das hier schon ausreichen?

function my_real_escape_string($var)
{
if(get_magic_quotes_gpc())
{
$var = stripslashes($var);
}
return mysql_real_escape_string($var);
}


$username = my_real_escape_string($_POST[username]);
$userpass = my_real_escape_string($_POST[userpass]);




Und dann halt dementsprechend überall wo $_POST['username'], $_POST['userpass'] im Script steht, mit $username und $userpass ersetzen.
 
Blackgreetz
18-03-2008, 11:12 
 
hi,

warum willst du dafür eine eigene Funktion bauen?
PHP hat doch schon mysql_real_escape_string() (http://php.net/mysql_real_escape_string) dafür entwickelt :rolleyes:

mfg
 
Londrag
18-03-2008, 11:30 
 
Ja schon, doch wenn magic_quotes_gpc auf dem Server aktiviert, sollte zuerst stripslashes() auf die Daten angewendet werden. Das Bearbeiten bereits in irgend einer Form maskierter Daten durch mysql_real_escape_string führt ansonsten dazu, dass bereits Maskiertes doppelt maskiert wird, was wieder zu einer SQL Injection führen kann.

Oder sehe ich da was falsch? Ich bin hier der Anfänger :)
 
jahlives
18-03-2008, 12:33 
 
**move** zu Tutorials
 
Londrag
18-03-2008, 14:08 
 
Och mensch jahlives, nun bekomm ich keine Antwort mehr :(
Das Tutorial Forum ist so gut wie tot, da könnte man doch die 4 Beiträge im Monat die das Tutorial Forum bekommt auch im PHP Forum lassen.
 
jahlives
18-03-2008, 14:20 
 
Sorry aber da es nicht dein eigener Code ist sondern sich auf ein Tutorial bei uns bezieht gehört es für mich nach Tutorials
 - -

Alle Zeitangaben in WEZ +2. Es ist jetzt 01:05 Uhr.