Mailinglisten-Archive |
Thomas Letzner schrieb:
> Na toll hätte ich ja denken können das das Attachment gelöscht wird.
http://www.phpbar.de/interaktiv/listenregeln.php
Regel: 4
> Werde einfach den Quelltext hierein posten. Der Login funktioniert wie
> gesagt nur im Firefox im Internet Explorer werden anscheinend die
> Formulardaten nicht übergeben.
>
> <?php
>
> if(!session_is_registered('username') || $_SESSION['username'] == "") {
> echo "<form action=\"verify.php\" target=\"mitte\" method=\"post\">
das kann doch keiner lesen mit den ganzen BackSlashes.
[code]
if(!session_is_registered('username') || empty($_SESSION['username')) {
?>
<form action="verify.php" target="mitte" method="post">
[...]
<?php
[/code]
> mysql_select_db($dbname, $conn);
könnte doch auch schief gehen, Gell?!
[code]
mysql_select_db($dbname, $conn)
OR die(mysql_error());
[/code]
> $query = "SELECT password, level, email FROM login WHERE username =
> '".$username."'";
> $result = mysql_query($query, $conn);
Warum die Amfrage zweimal abschicken?
> $result = mysql_query("SELECT userid, password, level, email FROM login
> WHERE username = '$username'",$conn);
Besser:
[code]
$result = mysql_query("SELECT userid, password, level, email FROM login
WHERE username = '". addslashes($username) ,"'", $conn);
[/code]
Ansonsten kann man anhand des Benutzernamens den Query manipuliere.
http://de.php.net/manual/de/security.database.sql-injection.php
> if ($zeileholen["password"] <> $passwort)
> {
> die ("Sorry, aber dieses Passwort passt nicht zum Usernamen !");
> }
Muss man dem user beibringen das er schon mal ein richtigen
Benutzernamen gefunden hat und 'nur' noch das Passwort suchen muss ;-)
> $userid = 0;
> $level = 0;
Überflüssig
> header("Location:level1.php");}
Ich meine das schon gelsen zu haben das jemad geschrieben hatt das
header("Location: ... lieber absolute URLs haben will. header() ist das
egal, aber nicht jedem Browser den der muss das Interpretieren. Dies
könnte auch der Fehler sein?!
Gruß
Aron
php::bar PHP Wiki - Listenarchive