> > > Gib mal im Namensfeld ein `admin' --` ein und ein falsches Passwort (wenn admin einer der > > in dem Fall wird mir eine Warnung ausgegeben und ich werde nicht eingeloggt... ich lese mir aber erstmal den artikel durch Hm. Eingabe `admin'--`: ~~~ SQL: "SELECT * FROM login WHERE Name='{$name}' AND Passwort ='{$pass}'; "; -> "SELECT * FROM login WHERE Name='{admin'--}' AND Passwort ='{$pass}'; "; ~~~ Ok. Das geht nicht. Aber: Eingabe in user: `egal' or ''='';#`; als Passwort: `egal` ~~~ mysql> select * from users where username='{egal' or ''='';#} and password='{egal}'; +----+----------+--------------------------------------------------------------+ | id | username | password | +----+----------+--------------------------------------------------------------+ | 1 | foo | $2a$10$Ktv2Ar1JEm2W7gie/7DNwut1vfLNDj6G7uzux6P..EK557PL0RLM6 | +----+----------+--------------------------------------------------------------+ 1 row in set (0.01 sec) ~~~ geht ab wie Schmitts Katze. Bitte lese über [mysqli_real_escape_string](http://php.net/manual/de/mysqli.real-escape-string.php) nach [und hashe das Passwort](https://code.fastix.org/Projekte/login-system/PHP-Anwendung%20und%20Praxis-Loginsystem.pdf).

> > > Gib mal im Namensfeld ein `admin' --` ein und ein falsches Passwort (wenn admin einer der > > in dem Fall wird mir eine Warnung ausgegeben und ich werde nicht eingeloggt... ich lese mir aber erstmal den artikel durch Hm. Eingabe `admin'--`: ~~~ SQL: "SELECT * FROM login WHERE Name='{$name}' AND Passwort ='{$pass}'; "; -> "SELECT * FROM login WHERE Name='{admin'--}' AND Passwort ='{$pass}'; "; ~~~ Ok. Das geht nicht. Aber: Eingabe in user: `egal' or ''='';#`; als Passwort: `total egal` ~~~ mysql> select * from users where username='{egal' or ''='';#} and password='{egal}'; +----+----------+--------------------------------------------------------------+ | id | username | password | +----+----------+--------------------------------------------------------------+ | 1 | foo | $2a$10$Ktv2Ar1JEm2W7gie/7DNwut1vfLNDj6G7uzux6P..EK557PL0RLM6 | +----+----------+--------------------------------------------------------------+ 1 row in set (0.01 sec) ~~~ geht ab wie Schmitts Katze. Bitte lese über [mysqli_real_escape_string](http://php.net/manual/de/mysqli.real-escape-string.php) nach [und hashe das Passwort](https://code.fastix.org/Projekte/login-system/PHP-Anwendung%20und%20Praxis-Loginsystem.pdf).