Moin,

was mich interessieren würde, funktioniert denn jetzt auch die erste Version? Denn eigentlich ist md5() auch in Mysql implementiert, also müßte es auch gehen!

Ja, aber da heisst es MD5() und darf natürlich nicht innerhalb der Anführungszeichen stehen.

Noch eine Anmerkung zur Vorgehensweise: Die klügere Methode wäre es (IMHO), den verschlüsselten Passwortstring aus der Datenbank auszulesen und in PHP zu vergleichen. Damit haust du einige potentielle Sicherheitsprobleme (die aber noch einen Fehler an anderer Stelle erfordern) weg. Zum Beispiel gab es in der Vergangenheit solche Systeme bei denen es möglich wahr, SQL-Code in die Abfrage einzuschleusen. Wenn man dort die Abfrage in Richtung "SELECT * FROM bla WHERE user=... AND passwort=... OR user=user" umgebogen hat, hatte man die Passwortüberprüfung praktisch umgangen. Eine andere Klasse von Problemen wäre ein Leck der ausgeführten SQL-Befehle (Logdatei, Fehlermeldung, ...) und damit des Passwortstrings.

--
Henryk Plötz
Grüße aus Berlin