Beiträge von lolman

    @RMB:
    Nein, die Variablen sind ja schon vorhanden da im Formular per Post übermittelte Eingabefeldernamen etc. schon direkt eine Variable gleichen Namens zugeordnet wird - hier eben $username und $passwort.


    webcool:
    Ja, diesen Text las ich auch, nur ist dort ja eine ganz andere Situation gegeben, nämlich dass die übermittelten Daten direkt in die Datenbankanfrage eingefügt werden - hier werden sie nur mit der Datenbankabfrage verglichen.
    Zu der configdatei sollte ich vll noch sagen, dass diese sihc in einem Ordner namens "config" in der Datei config.php befindet.
    Wie kann man denn das ausnutzen wenn die Rechte auf 777 stehen würden?
    Kann mann sie dann einfach mit fsockopen(); und der kompletten Pfadangabe (http://etc.) öffnen?



    Vielen Dank schonmal,
    Euer lolman :)

    Aber jerne doch - ich versende sie per Post - nächsten Tag ist dann der Postbote da und wirft sie in den Briefkasten des Servers ;)


    Das Formular muss ich ja nicht weiter, oder?
    oder!


    Code
    1. <form action="datei2.php" method="POST">
    2. <input type="text" size="20" name="username">
    3. <input type="password" size="20" name="passwort">
    4. </form>



    Vielen Dank schonma,
    Euer lolman :)

    Moin moin,
    mir hat ein kleiner Programmierer ein ebenso kleiens Script geschrieben.
    Nun wollte ich gerne einmal wissen ob das was der kleine Programmierer geschrieben hat auch wirklich sicher ist, weswegen ich heir meine Frage an Euch richte ;)
    Es handelt sich um einen Adminlogin.
    Die entsprechenden Teile hier in aller Kürze:


    1) Loginformular für den Admin welches in den Variablen $username den Usernamen und in $passwort das Passwort an folgende Datei sendet:


    2) Datei die eben genanntes ausliest, eien DB-Abfrage macht und bei Korrektheit der Daten etwas ausgibt:



    Könnte es nun sein, dass sobald der böse Mann, sobald er diesen Schnipsel sieht, zu meiner Seite rennt und dreist in meinen Adminbereich eindringt?
    Verzeiht mir, ich bin nicht so bewand in PHP und die entsprechenden Threads für SQL-injections brachten mir nciht viel da diese immer voraussetzten dass die übergeben Variable des Loginscriptes direkt im Query weietrverwendet wird, hier werden erst die Daten ausgelesen und dann mit der Eingabe verglichen - scheinbar ideal mag ich denken, doch ich frage lieber noch einmal jemanden der es besser weiß ;)



    Gruß & Thx,
    Euer lolman :)