sql injections im login vermeiden

Hi ich würde gerne wissen wie ich im folgendenden loginscript sql injections so gut wie komplett vermeiden ,, noch besser ganz vermeiden kann.

<?phpif($verhalten == 0) {?>
<form method="post" action="index.php?page=log">
    <input type="text" name="user" id="benutzername" /><br />    <input type="password" name="passwort" id="benutzerpasswort" /><br />    <input type="submit" id="einloggen" value="Einloggen" /></form>
<?php}if($verhalten == 1) {?>
<?php}if($verhalten == 2) {?>
<?php}?>


</div><div id="logged"><?phpswitch($verhalten) {case 0:echo 'Bitte einloggen.<br><a href="register.php">oder Jetzt Registrieren...</a>';break;case 1:echo 'weiterleitung..';break;case 2:echo 'falsche daten. <a href="index.php">zurück</a>';}?>

- - - Aktualisiert - - -

Hier nochmal vernunftig leider nicht im codegenerator. der schmeisst alles kaputt.

<?php
if($verhalten == 0) {
?>

<form method="post" action="index.php?page=log">

<input type="text" name="user" id="benutzername" /><br />
<input type="password" name="passwort" id="benutzerpasswort" /><br />
<input type="submit" id="einloggen" value="Einloggen" />
</form>

<?php
}
if($verhalten == 1) {
?>

<?php
}
if($verhalten == 2) {
?>

<?php
}
?>

</div>
<div id="logged">
<?php
switch($verhalten) {
case 0:
echo 'Bitte einloggen.<br><a href="register.php">oder Jetzt Registrieren...</a>';
break;
case 1:
echo 'weiterleitung..';
break;
case 2:
echo 'falsche daten. <a href="index.php">zurück</a>';
}
?>

______________

Ist beim registrieren auch sowas nötig? kann man von dort auch solche unverschämtheiten wie sql injections machen?

im moment kann ich mich mit 1=1 usw als injection einloggen, des is ja völliger schmaan nicht.

Hier nochmal der ganze Code
benutze webocton scriptly. Wenn du ein besseren kennst , dann auf gib mir den Namen.

<?php
$verhalten = 0;
session_start();
if(!isset($_SESSION['username']) and !isset($_GET['page'])) {
$verhalten = 0;
}
if($_GET['page'] == "log") {
/*
$user = $_POST['user'];
$passwort = $_POST['passwort'];
*/

$user = strtolower($_POST['user']);
$passwort = md5 ($_POST['passwort']);

$verbindung = mysql_connect("", "" "")
or die ("Fehler im System");

mysql_select_db("")
or die ("Verbidung zur Datenbank war nicht möglich...");

$control = 0;
$abfrage = "SELECT * FROM login WHERE user = '$user' AND passwort ='$passwort'";
$ergebnis = mysql_query($abfrage);
while($row = mysql_fetch_object($ergebnis))
{
$control++;
}

if($control != 0) {
$_SESSION['username'] = $user;
$verhalten = 1;
} else {
$verhalten = 2;
}
}
?>
<!DOCTYPE html>
<html>
<head>
<link rel="stylesheet" type="text/css" href="http://h-a-k-a-n-p.de/hakanhp/design.css"/>
<link href="design.css" type="text/css" rel="stylesheet" media="screen"/>
<link href="http://h-a-k-a-n-p.de/hakanhp/menu_assets/styles.css" rel="stylesheet" type="text/css"/>

<title>Login</title>
<?php
if($verhalten == 1) {
?>
<meta http-equiv="refresh" content="2; URL=http://start.php"
<?php
}
?>

</head>

<body>

<div id="wrapper">

<div id="header">
</div>

<div id="cssmenu">
<ul>
<li class='active'><a href='#'><span>Anasayfa</span></a></li>
<li class='last'><a href="#">Bos alan</a></li>
<li class='has-sub'><a href='#'><span>Bos alan</span></a>
<ul>
<li class='has-sub'><a href='#'><span>Bos alan</span></a>
<ul>
<li><a href='#'><span>Bos Alan</span></a></li>
<li class='last'><a href='#'><span>Bos alan</span></a></li>
</ul>
</li>
<li class='has-sub'><a href='#'><span>Bos alan</span></a>
<ul>
<li><a href='#'><span>Bos alan</span></a></li>
<li class='last'><a href='#'><span>Bos alan</span></a></li>
</ul>
</li>
</ul>
</li>
<li><a href='#'><span>Bos alan</span></a></li>
<li class='last'><a href='#'><span>Bos alan</span></a></li>
</ul>
</div>

<div id="content">

<div id="content2">

</div>
</div>

<div id="login">
<?php
if($verhalten == 0) {
?>

<form method="post" action="index.php?page=log">

<input type="text" name="user" id="benutzername" /><br />
<input type="password" name="passwort" id="benutzerpasswort" /><br />
<input type="submit" id="einloggen" value="Einloggen" />
</form>

<?php
}
if($verhalten == 1) {
?>

<?php
}
if($verhalten == 2) {
?>

<?php
}
?>

</div>
<div id="logged">
<?php
switch($verhalten) {
case 0:
echo 'Bitte einloggen.<br><a href="register.php">oder Jetzt Registrieren...</a>';
break;
case 1:
echo 'weiterleitung..';
break;
case 2:
echo 'falsche daten. <a href="index.php">zurück</a>';
}
?>

</div>

<div id="footer">
</div>
</div>

</body>
</html>

Danke, klappt wunderbar. Mit ´or1blabla komm ich nicht mehr rein.

Danke auch für die Info im Edit.

- - - Aktualisiert - - -

ehm.. irgendwie komm ich mit garkeinen Benutzernamen mehr rein

$abfrage = "SELECT * FROM login WHERE user = 'mysql_real_escape ($user)' AND passwort = 'mysql_real_escape_string($passwort)'";

mit "debuggen" & "gehasht" kann ich leider "noch" nicht viel anfagen. Die hinterlegten Variablen sind eigentlich richtig.

mit den unsicheren Code hat es ja Funktioniert. Als ich dein Code probiert habe gings nicht mehr. Hab ich vielleicht einfach die anfuehrungszeichen irgendwie falsch gesetzt?

Egal, lass mal ich nerve bestimmt schon

Ich hab dich doch garnicht bewertet?

Das einzige was ich bewertet habe war die Aussage von explanator < Dann verwende einfach einen vernünftigen Editor, dann klappt das auch mit dem Kopieren und Einfügen anständig.>
hab beim bewerten geschrieben nicht konstruktiv. Hab ich dir die Bewertung abgegeben?

Sorry , ich konnte mit "besseren editor" nicht viel anfagen und wollte das bewerten.

und nu? wie mach ich´s wieder gut?

closed

Es klappt nicht. Habs jetzt schon an verschiedene stellen eingesetzt den code, klappt nicht!

wo muss der code den du mir gegeben hast anfangen und wo enden? bin echt blutiger Anfänger 4Tage im Ganzen