mysql_real_escape_string ? funktz das hier ?

  • hier hab ich ein script gemacht zu php sprich ein login system für mysql_Real_escape_string damit keine injection möglich ist mehr.



    <?php
    session_start(login);
    //---------------------------->
    $user = $_POST['username'];
    $pwd = $_POST['password'];
    //------------------------------>


    $user = mysql_real_escape_string($user);
    $pwd = mysql_real_escape_string($pwd);


    //-----{main}-------------->


    $con = mysql_connect('localhost','username','password');
    if($con = true){
    die('connection failed!');
    session_destroy(login);
    }
    mysql_select_db('databank');
    //-------------------------------------->
    //checken


    if(mysql_query('name','passwort') == $user && $pwd){
    echo('willkommen zurück $user');
    header('abgesicheterbereich.php');
    }
    if(!empty($pwd)){
    echo 'bitte fülle alle felder aus!';
    }
    if(!empty($user)){
    echo'bitte fülle alle felder aus!';
    }
    ?>


    wenn da fehler enthalten sind , könnte die mir wer verbessern ? , a
    außerdem ist das script richtig ?


    mfg kyle :thumbup:

  • Du kannst kein mysql_real_escape_string benutzen bevor du eine Verbindung zu einem MySQL Server hast.

    PHP
    //-----{main}-------------->
    $con = mysql_connect('localhost','username','password');
    
    
    $user = mysql_real_escape_string($user);
    $pwd = mysql_real_escape_string($pwd);


    MFG Piet

  • Du kannst kein mysql_real_escape_string benutzen bevor du eine Verbindung zu einem MySQL Server hast.

    PHP
    //-----{main}-------------->
    $con = mysql_connect('localhost','username','password');
    
    
    $user = mysql_real_escape_string($user);
    $pwd = mysql_real_escape_string($pwd);


    MFG Piet


    danke aber ist meine abfrage richtig überhaupt ?
    sprich das script allgemein

  • Du hast außerdem geschrieben:

    PHP
    if($con = true){
    die('connection failed!');
    session_destroy(login);
    }


    Damit überprüfst du nicht, sondern du setzt $con auf true :D
    So müsste es wenn heißen:


    PHP
    if($con == true){
    die('connection failed!');
    session_destroy(login);
    }
  • Hier hab ich mal überarbeitet(nicht getestet):


    /e
    Fehler behoben bei einer Nachricht.


    MFG Piet