Andavos: Login Script

Beitrag lesen

SELF-Forum

Login Script

Andavos
Informationen zu den Bewertungsregeln

Hallo,
über dieses Thema kann man Stundenlang diskutieren, aber ich habe folgende Erfahrung gemacht:
Nur wenige PHP Programmierer, die teilweise auch Geld damit verdienen, sind sich der Gefahr von SQL Injections bewusst, denn (dank) magic_quotes werden diese ja entschärft, und weil es die Default Einstellung ist, haben Programmierer lokal keine Probleme, wenn mal ein ' in die Eingabe gerrät, weil es ja maskiert wird, sonst erhielten die Programmierer eine Warnung oder ähnliches.

In so gut wie jeder Einführung die ich bisher gelesen habe, wird darauf hin nicht hingewiesen, meistens nur in Literatur für PHP Profis, und die meisten, die eine Einführung durchgelesen haben, denken sie seien Fit und den Rest würden sie "auf der Straße" lernen.
Was ja auch teilweise stimmt, zwar schlägt man sich nach einem halben Jahr die Hände über dem Kopf zusammen, wenn man sich anschaut was man dort Programmiert hat, aber es funktioniert! Und dies ist den meistens das wichtigste.
Nur wenige Spezies, denen nicht unbedingt das Ziel, sondern der Weg wichtiger ist, die werden sich evt. ein PHP Profi Buch kaufen.

Darum empfehle ich lieber die IF Anweisung, außerdem ist dadurch der SQL String/Befehl kleiner und die IF Anweisung kann man, leichter Editieren, sofern man sich noch nicht stark mit SQL auseinandergesetzt hat.
So kann man auch z.B. noch einen Sicherheitscode oder ähnliches überprüfen lassen. Denn jmd. der Angreift, soll ja nicht wissen ob Sicherheitscode, Username oder PW falsch war.

Außerdem kann es passieren, dass jmd. anstatt dem sicherem: spalte = 'wert' evt. LIKE benutzt: spalte LIKE 'wert'

Und wenn dann jmd. Username: % und PW: % eingibt, und beides per LIKE überprüft wird, dann wird man eingelogt, weil beide Aussagen ja zutreffen.

Also für erfahrene PHP Programmierer, die sich mit Sicherheit (von Scripts) auskennen, können gerne das Login als SQL Anweisung schreiben, allerdings werden diese kaum nach einem Loginscript fragen.
Für Anfänger würde ich aber die IF Konstruktion empfehlen.

Zum Thema Groß- und Kleinschreibung:
Da hab ich mich versehen und muss dir recht geben.

MFG
Andavos

Beitrag melden
Informationen zu den Bewertungsregeln