Mailinglisten-Archive |
jo,
> > mysql_escape_string(), so kann niemand die db räumen.
> Was ist das denn? Das finde ich nicht im Manual.
www.php.net/mysql_escape_string - online gibt's die funktion, in meinem
php-buch, das ich hier liegen habe, ist die funktion auch nicht zu
finden - scheint doch noch recht neu zu sein :/
die funktion verhindert, dass user mit db- und sql-kenntnissen
irgendwelchen schaden durch böswillig präparierte form-values anrichten
können. siehe dazu auch die comments auf der manual-seite.
> Naja, da ich die Rechte über GRANT verteile,
? keine ahnung, wie das geht. wenn diese grant-einträge mit
PASSWORD(value) gemacht werden, kannst du in der SQL-Query das
übergebene passwort gleich behandeln - anstatt also das entschüsselte
password zu vergleichen, vergleichst du die beiden verschlüsselten
versionen (ist IMHO standard-prozedere bei so sachen).
$dbQuery = "SELECT * FROM Table WHERE Username LIKE '" . $Username . "'
AND Password LIKE PASSWORD('" . $Password . "')";
in so sieht dann das etwa aus - mit der mysql-password()-funktion habe
ich aber noch nie gearbeitet, da können dir sicher andere
listen-benützer weiterhelfen.
have fun!
gruss
mario
--
mario aeby, neuenegg
http://www.eMeidi.com
php::bar PHP Wiki - Listenarchive