Hello,

Wenn ich das richtig verstehe, läuft es mit MySql etwa so:

Kunde 1 loggt sich ein
Datenbank wird geöffnet
es wird nach dem Nicknamen gesucht
wird er gefunden, werden die Passwörter verglichen
stimmen sie überein, ist der Kunde eingeloggt und es wird eine session gestartet
Datenbank schliessen

Das sollte bitte ganz anders laufen:

• Kunde 1 sendet seinen Request
• Die Requestparameter werden formal überprüft und dann passend für das DB-Query escaped
• mittels Query wird nach der Kombination Username<->Passwort gesucht.
• wenn genau eine Kombi gefunden wurde, dar der User weiterarbeiten
    (dies merkst Du Dir irgendwo, z.B. in der Session, oder aber Du trägst die
     Session-ID in eine "Last-Request-Tabelle" der DB ein[1], oder oder oder)

Die Trennung von Abfrage und Vergleich ist also nicht notwendig oder sogar falsch.

[1] Wenn eine "Last-Request"-Tabelle geführt werden soll, sollte man das Insert in diese mit der Abfrage nach Usernamy<->Passwort verbinden, damit man sich kein TOCTTOU-Problem baut

http://en.wikipedia.org/wiki/Time-of-check-to-time-of-use

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg