Wie aktuell und sicher ist das LoginScript-Tutorial von mrhappiness?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Wie aktuell und sicher ist das LoginScript-Tutorial von mrhappiness?

    Da das Tutorial nun doch schon einige Jahre alt, würde es mich interessieren ob das Tutorial noch up to date ist, auch was die Sicherheit angeht.
    Kann man das ohne bedenken noch so anwenden wie es da steht?

  • #2
    An sich ja. Das Tutorial geht allerdings nicht auf das sehr, sehr wichtige und kritische Thema der *SQL Injections* ein. Bitte informiere dich darüber.
    Ansonsten sehe ich keine Grund, es nicht zu benutzen.

    Kommentar


    • #3
      Hm, ich würde dem eventuell mehr Nachdruck verleihen: Das Script, wie du es im Tutorial findest, weißt durchaus eine große Sicherheitslücke auf. Nämlich - wie schon erwähnt - SQL Injections. Hast du die gefunden und geschlossen, solltest du das Script bedenkenlos benutzen können.

      Grüße
      Nieder mit der Camel Case-Konvention

      Kommentar


      • #4
        Vielen Dank.

        Würde das hier schon ausreichen?

        PHP-Code:
        function my_real_escape_string($var)
        {
            if(
        get_magic_quotes_gpc())
            {
                
        $var stripslashes($var);
            }
        return 
        mysql_real_escape_string($var);
        }


        $username my_real_escape_string($_POST[username]);
        $userpass my_real_escape_string($_POST[userpass]); 
        Und dann halt dementsprechend überall wo $_POST['username'], $_POST['userpass'] im Script steht, mit $username und $userpass ersetzen.

        Kommentar


        • #5
          hi,

          warum willst du dafür eine eigene Funktion bauen?
          PHP hat doch schon mysql_real_escape_string() dafür entwickelt

          mfg

          Kommentar


          • #6
            Ja schon, doch wenn magic_quotes_gpc auf dem Server aktiviert, sollte zuerst stripslashes() auf die Daten angewendet werden. Das Bearbeiten bereits in irgend einer Form maskierter Daten durch mysql_real_escape_string führt ansonsten dazu, dass bereits Maskiertes doppelt maskiert wird, was wieder zu einer SQL Injection führen kann.

            Oder sehe ich da was falsch? Ich bin hier der Anfänger

            Kommentar


            • #7
              **move** zu Tutorials
              Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

              [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
              Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

              Kommentar


              • #8
                Och mensch jahlives, nun bekomm ich keine Antwort mehr
                Das Tutorial Forum ist so gut wie tot, da könnte man doch die 4 Beiträge im Monat die das Tutorial Forum bekommt auch im PHP Forum lassen.
                Zuletzt geändert von Londrag; 18.03.2008, 13:16.

                Kommentar


                • #9
                  Sorry aber da es nicht dein eigener Code ist sondern sich auf ein Tutorial bei uns bezieht gehört es für mich nach Tutorials
                  Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                  [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                  Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                  Kommentar

                  Lädt...
                  X