Einzelnen Beitrag anzeigen
  #5  
Alt 22.09.2007, 16:57:45
pattitheonly pattitheonly ist offline
Anfänger
 
Registriert seit: Jan 2007
Beiträge: 18
AW: Sicher vor SQL Injections?

Also hier mal der zu prüfende Code, ich würde eigentlich denken das er so passt, aber Ihr seid ja die Profis :-) Bin für jeden Tipp dankbar :-)

Code:
<?php
$verbindunng=MYSQL_CONNECT($server, $Benutzer, $Passwort) or Fehler_1(&$Fehler_1);
MYSQL_SELECT_DB($datenbank) or Fehler_2(&$Fehler_2);
      if(!isset($_POST['submit']))
      	{ $_POST['Benutzer'] = 0;		//anlegen der POST Variablen
         ?>
      	   <form action="<?php $PHP_SELF /*verlinkt auf die zur Wetterstation Seite1.php*/ ?>" method="post">
	         <table width="100%" bgcolor="#996566" border="0" cellpadding="5" cellspacing="0" align="center">
	           <tr>
	             <td bgcolor="#DADADA" align="center" colspan="2">
	             <b>Admin Login</b>
	             </td>
	           </tr>
	           <tr>
	             <td width="20%" bgcolor="#DADADA">User</td>
	             <td width="70%" bgcolor="#DADADA"><input type="text" name="Benutzer" size="10" class="input"<?php if($_POST['Benutzer'] != "" ) {echo ' value="'.$_POST['Benutzer'].'"';}?>></td>
	           </tr>
	           <tr>
	             <td width="20%" bgcolor="#DADADA">Pass</td>
	             <td width="70%" bgcolor="#DADADA"><input type="Passwort" name="Passwort" size="10" class="input"></td>
	           </tr>
	           <tr>
	             <td bgcolor="#DADADA" align="center" colspan="2">
	             <input type="submit" name="submit" value="Anmelden" class="button">
	             </td>
	           </tr>
	         </table>
	         </form>
	   		<?php
	   	}
         elseif(!$_POST['Benutzer'] || $_POST['Benutzer'] == "") 	//Benutzerfeld befüllt??
         {
         	echo ("
	         <script LANGUAGE='JavaScript'>
	         top.location.href='Wetterstation Seite1.php';
	         </script>
	     		 ");
         }
         elseif(!$_POST['Passwort'] || $_POST['Passwort'] == "")	//Passwortfeld befüllt?
         {
         	echo ("
	         <script LANGUAGE='JavaScript'>
	         top.location.href='Wetterstation Seite1.php';
	         </script>
	         ");
	   	}
         else
         {
     	    	$Passwort = md5($Passwort);              					
	         $sql = mysql_query("SELECT Benutzer, Passwort FROM Mitglieder WHERE Benutzer = '".$_POST['Benutzer']."'") or Fehler_4(&$Fehler_4);  //wähle das Passwort aus der DBmit dem Benutzer
	         $result = mysql_fetch_array($sql) or Fehler_4(&$Fehler_4);
	         if($Passwort != $result['Passwort'])                     	//wenn Passwort falsch,lade Seite neu
       		{
        			echo ("
         		<script LANGUAGE='JavaScript'>
	     			top.location.href='Wetterstation Seite1.php';
	     			</script>
	     		 ");
        		}
            else
            {
	      		$Benutzer = $result['Benutzer'];       						//erzeuge Sessionsvariable
	       		session_register('Benutzer');                       //registriere die Session
//automatische Weiterleitung an den Admin Bereich
	       		echo ("
	       		<script LANGUAGE='JavaScript'>
	       		top.location.href='Wetterstation Seite1_admin.php';
	        		</script>
	       		");
	      	}
			}
      MYSQL_CLOSE();
	   ?>

Geändert von pattitheonly (22.09.2007 um 17:00:12 Uhr)
Mit Zitat antworten