nicht angemeldet
Hallo Heinz,
ich habe gelesen, dass man unter Umständen mittels einer SQL-Injection [...]
Man sollte nie, wirklich nie, Benutzereingaben direkt in ein SQL-Statement einbauen. Schau Dir mal mysql_real_escape_string() und dclp FAQ: 16.18. Wie kann ich bösartigen Code in SQL-Abfragen unterbinden? an.
if ($_POST["passwort"]==$db_ergebnis["passwort"]) [...]
Nun frage ich mich, ob man auch eine PHP-Injection durchführen kann. Ich habe es mit der Eingabe von:
""=="" || ""
ausprobiert. Es funktionierte nicht. Ist also eine PHP-Injection nicht möglich und mein Zugangsschutz sicher?
Du kannst auf jeden Fall das übergebene Paßwort mal prüfen, also wenn Deine Paßworte z.B. eine bestimmte Zeichenlänge haben oder nur bestimmte Zeichen enthalten dürfen, dann kannst Du damit schonmal abfangen.
MfG
Götz
Losung für Sonntag, 27. November 2005
Es sollen hertreten und dir helfen die Sterngucker, die an jedem Neumond kundtun, was über dich kommen werde! Siehe, sie sind wie Stoppeln, die das Feuer verbrennt. (Jesaja 47,13.14)
An der Fülle der Gottheit habt ihr teil in Christus, der das Haupt aller Mächte und Gewalten ist. (Kolosser 2,10)
(Losungslink)