Announcement

**Christian Marquardt** · 15.01.2014, 17:25

Der R�ckgabewert ist ein

http://www.php.net/manual/de/class.mysqli-result.php

Pr�fe das mit

http://php.net/manual/de/function.empty.php

if (!empty($login))

**stevy2651** · 15.01.2014, 18:57

Danke f�r die schnelle Antwort ich habe auch bereits eine l�sung gefunden.

Habe den If kopf durch denn ersetzt jetzt meine Frage: Wie sieht es dabei mit der Sicherheit aus? Ist das so Ok?

EDIT: Denn ich bin mir nicht so sicher mit dem

PHP Code:


mysql_real_escape_string();

weil ich bin der Meinung der ist nur f�r SQL und man m�sste es jetzt so per

PHP Code:


htmlspecialchars();

PHP Code:


                        $username = mysql_real_escape_string($_POST['Username']);
                        $password = mysql_real_escape_string($_POST['Password']);
                        $login = $mysqli->query("SELECT user, pass FROM user");
                        $ergebniss = mysqli_fetch_object($login);
                        if($username == $ergebniss->user)
                        {
                            if($password == $ergebniss->pass)
                            { // UND SO WEITER

**Christian Marquardt** · 15.01.2014, 19:09

Ich verstehe die Anschlussfrage nicht

**stevy2651** · 15.01.2014, 19:15

naja ob ich diesen Teil

PHP Code:


                        $username = mysql_real_escape_string($_POST['Username']);
                        $password = mysql_real_escape_string($_POST['Password']);

mit

PHP Code:


htmlspecialchars();

verarbeiten muss.

EDIT: Oder ob das so Ok ist von der Sicherheit her.

MfG

**Christian Marquardt** · 15.01.2014, 19:18

�ndert nichts

http://www.php.net/manual/de/functio...ecialchars.php
Ich wei� nicht, was das mit der Frage zu tun hat

Wenn du meinst es tun zu m�ssen, dann tu es

**Falk Pr�fer** · 16.01.2014, 10:36

Hallo,

Originally posted by stevy2651 View Post

...bin noch Anf�nger in PHP und MySQL und bin gerade Fertig geworden mit einem Einstiegs PHP MYSQL Kurs ... Nun bin ich dabei ein Kleines Login System per PHP und MySQL zu bauen.

Warum neigen eigentlich alle Anf�nger dazu, als erste Aufgabe ein Login-System realisieren zu m�ssen? Zum Ersten gibt es bereits einige gute Frameworks, die einem das abnehmen und zum Zweiten ist es eben keine triviale Aufgabe wenn man Sicherheit entsprechend hoch Priorisiert.
Aber OK, wenn du schon nach Sicherheit fragst

...

PHP Code:


$username = mysql_real_escape_string($_POST['Username']);
$password = mysql_real_escape_string($_POST['Password']);
$login = $mysqli->query("SELECT user, pass FROM user");

mysql_real_escape_string ist eine MySQL-Funktion, anschlie�end machst du jedoch mit MySQLi im objektorientierten Stil weiter. Das ist Murks!
Also besser w�re schonmal die entsprechende MySQLi-Funktion zu verwenden:

PHP Code:


$username = $mysqli->real_escape_string($_POST['Username']);

Noch besser w�re nat�rlich mit MySQLi auch Prepared Statements und Parametrisierung einzusetzen. Damit ist man die Sorgen um SQL-Injection am Besten los.
Dann ist es unter dem Aspekt der Sicherheit keine gute Idee, Passw�rter im Klartext zu speichern und zu vergleichen. G�ngiges Verfahren ist hier die Bildung eines Hashwertes - z.B. ein MD5 oder ein SHA1. In der DB wird dann nur der Hash-Wert gespeichert, so dass selbst Personen mit Zugriff auf die DB nicht die Passw�rter der Nutzer auslesen k�nnen. Der Vergleich findet dann nur mit den Hash-Werten statt.

Ansonsten funktioniert

PHP Code:


$login = $mysqli->query("SELECT user, pass FROM user");
$ergebniss = mysqli_fetch_object($login);
if($username == $ergebniss->user)

nur, wenn es nur einen einzigen User in der DB gibt. Verglichen wird hier immer nur mit dem ersten Datensatz der zuf�llig gefunden wird. In der Abfrage fehlt schlicht die WHERE-Klausel.
Ansonsten w�re zum Thema Sicherheit noch die fehlende Validierung der Eingaben zu nennen. Schlie�lich wurde vor die Maskierung die Validierung gesetzt.

Gru� Falk

Announcement

Login System

Login System

Comment

Comment

Comment

Comment

Comment

Comment