mysql_real_escape_string ? funktz das hier ?

Kyle · 4. Februar 2013

hier hab ich ein script gemacht zu php sprich ein login system für mysql_Real_escape_string damit keine injection möglich ist mehr.

<?php
session_start(login);
//---------------------------->
$user = $_POST['username'];
$pwd = $_POST['password'];
//------------------------------>

$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

//-----{main}-------------->

$con = mysql_connect('localhost','username','password');
if($con = true){
die('connection failed!');
session_destroy(login);
}
mysql_select_db('databank');
//-------------------------------------->
//checken

if(mysql_query('name','passwort') == $user && $pwd){
echo('willkommen zurück $user');
header('abgesicheterbereich.php');
}
if(!empty($pwd)){
echo 'bitte fülle alle felder aus!';
}
if(!empty($user)){
echo'bitte fülle alle felder aus!';
}
?>

wenn da fehler enthalten sind , könnte die mir wer verbessern ? , a
außerdem ist das script richtig ?

mfg kyle

SylpheedW · 4. Februar 2013

Du kannst kein mysql_real_escape_string benutzen bevor du eine Verbindung zu einem MySQL Server hast.

PHP

//-----{main}-------------->
$con = mysql_connect('localhost','username','password');


$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

MFG Piet

Kyle · 4. Februar 2013

Zitat von [PA]Piet_Meier
Du kannst kein mysql_real_escape_string benutzen bevor du eine Verbindung zu einem MySQL Server hast.
PHP
//-----{main}-------------->
$con = mysql_connect('localhost','username','password');


$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
MFG Piet

danke aber ist meine abfrage richtig überhaupt ?
sprich das script allgemein

SylpheedW · 4. Februar 2013

Also ich glaub der Rest den du geschrieben hast ist Sche**e.
Ich schick dir gleich mal ne überarbeitete Version.

MFG Piet

Kyle · 4. Februar 2013

wäre echt nett da ich , nur ein bisschen mich mit php auskenne.

Max. · 4. Februar 2013

Du hast außerdem geschrieben:

PHP

if($con = true){
die('connection failed!');
session_destroy(login);
}

Damit überprüfst du nicht, sondern du setzt $con auf true
So müsste es wenn heißen:

PHP

if($con == true){
die('connection failed!');
session_destroy(login);
}

Goldkiller · 4. Februar 2013

Zitat

PHP

if(mysql_query('name','passwort') == $user && $pwd){

Was zur Hölle ist das ?

http://php.net/manual/de/function.mysql-query.php

SylpheedW · 4. Februar 2013

Hier hab ich mal überarbeitet(nicht getestet):

PHP

<?php
	session_start();
	//-----{main}-------------->


	mysql_connect('localhost','username','password') or die('MySQL-Verbindung schlug fehl: ' . mysql_error());


	mysql_select_db('databank') or die('MySQL-Verbindung schlug fehl: ' . mysql_error());
	//-------------------------------------->
	$user = mysql_real_escape_string($_POST['username']);
	$pwd = mysql_real_escape_string($_POST['password']);
	//checken

	if(empty($user) || empty($pwd))echo 'Bitte Füll alle Felder aus';
	else {
		$result = mysql_query('SELECT * FROM `accounts` WHERE `name` = \'$user\' AND `passwort` = \'$pwd\'');
		if(!$result)echo 'Falscher Benutzer/Passwort';
		else {
			echo 'Willkommen zurück $user';
			require('abgesicheterbereich.php');
		}
	}
?>

Alles anzeigen

/e
Fehler behoben bei einer Nachricht.

MFG Piet

Kyle · 4. Februar 2013

Danke werde es morgen ausprobieren.

Grex · 4. Februar 2013

Warum machst du denn

PHP

if(!empty($pwd)){
echo 'bitte fülle alle felder aus!'; 
}
if(!empty($user)){
echo'bitte fülle alle felder aus!';

??

Eher if(empty($user))...

breadfish.de 11. März 2022