kleiner login bereich..

[wolf360]

Hey, ich hab mir mal nen kleinen log-in bereich gebastetl, und wollt fragn ob man das so lassen kann(is etz nur des "muster") , und ob meine methode sicher is:

<form method="post">
<input name="name" type="text"><br>
<input name="passwort" type="text">
</form>

<?php

include("verbindungsaufbau.php");

$name = $_POST['name'];
$passwort = $_POST['passwort'];

$result = mysql_query("SELECT * FROM `users` WHERE `username` = '" . $name . "' AND `userpassword` = '" . $passwort . "'");
$num_rows = mysql_num_rows($result) or DIE ("Irgendwas stimmt nicht");

if($num_rows = true){
 header ("Location: http://www.wolf360.de.vu");
 }
 else{
   echo "falsch";
   }


?>

 

[XraYSoLo]

das das $num_rows net auf true, sondern auf != 1 setzen.

Nils aka XraYSoLo

 

[boehseronkel]

das das $num_rows net auf true, sondern auf != 1 setzen.
Nils aka XraYSoLo

Und vorallem sollte nicht mit einer Zuweisung, verglichen werden !

if(a = b) // falsch
if(a == b) // richtig

Have a look

PHP für dich - Vergleichsoperatoren

 

[wolf360]

okey also == 1!

und is die methode so sicher ?!

 

[XraYSoLo]

falsch.

!== 1

dein script ist in sachen passwort alles andere als sicher...man sollte noch das passwort mit md5() verschlüsseln.

Nils aka XraYSoLo

 

[matibaski]

Ich würde es so machen:

<?php
session_start();
if(!isset($_GET['formular']))
{
 echo'
 <form method="post" action="'.$_SERVER['PHP_SELF'].'>
  <input name="name" type="text"><br> 
  <input name="passwort" type="text"> 
 </form>';
}
else
{
 include "verbindungsaufbau.php";

 $name = $_POST['name'];
 $passwort = $_POST['passwort'];

 $result = mysql_query("SELECT * FROM `users` WHERE `username` = '" . $name . "' AND `userpassword` = '" . $passwort . "'") OR die(mysql_error());
 // Also ich würde die Query prüfen lassen, obs Fehler hat.
 $num_rows = mysql_num_rows($result);

 if($num_rows = true)
 {
  $_SESSION['login'] = 'true';
  header ("Location: http://www.wolf360.de.vu");
 }
 else
 {
  echo "falsch";
 }
}
?>

So setzt du eine Session, damit man nicht einfach auf die sichere Seite zugreifen kann.
Dann auf der sicheren Seite prüfen, ob die Session stimmt:

<?php
session_start();
if($_SESSION['login'] == 'true')
{
 echo'Sichere Seite';
}
else
{
 echo'Session nicht gültig';
}
?>

MfG, matibaski

 

[boehseronkel]

Noch ein Tipp von mir wäre ein Blick in den Tutorialbereich ;)

Das Tutorial von mir

http://www.html.de/tutorials/7701-p...php-mysql-login-mit-sessions-und-cookies.html

in Verbindung mit diesem

http://www.html.de/tutorials/11828-php-salted-hash-verschluesselungsverfahren.html

und Du hast einen recht sicheren und effektiven Loginbereich.

Gruß Sven