Login

#1 (**permalink**) 17-03-2008, 20:06

Da das Tutorial nun doch schon einige Jahre alt, würde es mich interessieren ob das Tutorial noch up to date ist, auch was die Sicherheit angeht.
Kann man das ohne bedenken noch so anwenden wie es da steht?

#2 (**permalink**) 17-03-2008, 20:22

An sich ja. Das Tutorial geht allerdings nicht auf das sehr, sehr wichtige und kritische Thema der *SQL Injections* ein. Bitte informiere dich darüber.
Ansonsten sehe ich keine Grund, es nicht zu benutzen.

#3 (**permalink**) 17-03-2008, 22:03

Hm, ich würde dem eventuell mehr Nachdruck verleihen: Das Script, wie du es im Tutorial findest, weißt durchaus eine große Sicherheitslücke auf. Nämlich - wie schon erwähnt - SQL Injections. Hast du die gefunden und geschlossen, solltest du das Script bedenkenlos benutzen können.

Grüße

#4 (**permalink**) 18-03-2008, 09:44

Vielen Dank.

Würde das hier schon ausreichen?

PHP-Code:


			
function my_real_escape_string($var)

{

    if(get_magic_quotes_gpc())

    {

        $var = stripslashes($var);

    }

return mysql_real_escape_string($var);

}





$username = my_real_escape_string($_POST[username]);

$userpass = my_real_escape_string($_POST[userpass]);

Und dann halt dementsprechend überall wo $_POST['username'], $_POST['userpass'] im Script steht, mit $username und $userpass ersetzen.

#5 (**permalink**) 18-03-2008, 10:12

hi,

warum willst du dafür eine eigene Funktion bauen?
PHP hat doch schon mysql_real_escape_string() dafür entwickelt

mfg

#6 (**permalink**) 18-03-2008, 10:30

Ja schon, doch wenn magic_quotes_gpc auf dem Server aktiviert, sollte zuerst stripslashes() auf die Daten angewendet werden. Das Bearbeiten bereits in irgend einer Form maskierter Daten durch mysql_real_escape_string führt ansonsten dazu, dass bereits Maskiertes doppelt maskiert wird, was wieder zu einer SQL Injection führen kann.

Oder sehe ich da was falsch? Ich bin hier der Anfänger