Moin!

Hallo,

$username = trim($_POST['username']);
$check_abfrage = "SELECT id, username, passwort, aktiv, lastvisit, cookie_modus, cookie_zufall, pw_update FROM $userdb WHERE username = '$username'";

> > Das dagegen ist schon ein sehr böser Fehler  
> Durch das simulieren von magic\_quotes\_gpc(); sofern es auf Off steht, ist es nicht möglich (afaik), diese Abfrage zu manipulieren.  
  
Du sollst nicht magic\_quotes\_gpc() simulieren, ganz im Gegenteil. magic\_quotes\_gpc() sollte sogar wenn möglich AUSGESCHALTET sein, und wenn es eingeschaltet ist, sollten die Eingaben in den superglobalen Variablen \_GET, \_POST und \_COOKIE mit stripslashes() zurückgewandelt werden.  
  
Zur Behandlung von potentiell "bösem" Code zur Verwendung in MySQL-DB-Abfragen existiert mysql\_escape\_string() und mysql\_real\_escape\_string(). Diese Funktion macht nur \_scheinbar\_ das Gleiche, wie addslashes(), tatsächlich aber sorgt sie GARANTIERT dafür, dass alle für MySQL bösen Zeichen escapet werden - und das sind mehr, als addslashes() behandelt.  
  

> Bei der Entwicklung wurde auch auf die Sicherheit geachtet.  
  
Kann ja nicht sein, wenn du mysql\_escape\_string() nicht in deinen SQL-Abfragen benutzt.  
  
 - Sven Rautenberg

-- 
My sssignature, my preciousssss!