fantast

*hagel von flames auf igäl* *g

__________________
Was ist validität?

Mister Ad

Igäl

Hauptsache du hast wiedersprochen gell Orolhawion ^^

__________________
Das Recht auf Dummheit gehört zur Garantie der freien Entfaltung der Persönlichkeit.
Mark Twain

Orolhawion

man widerspricht in der regel nur aussagen, die unwahr sind, und zwar nicht, weil man widersprechen möchte, sondern weil sie eben nicht stimmen, wie das wort unwahr impliziert, wenn du das meintest was ich geschrieben hab, dann schreibs einfach direkt so...

__________________
"die Mitte des Textes kann ja theor. mitten in einem Text liegen"

http://www.jagr.de/

Basti

Noch ein paar Ergänzungen zu deinem (thwoen`s) Code:

Es sieht so aus, als ob dbconnect.php im doc_root liegt, also über HTTP erreichbar ist oder liegt das abgedruckte Skript außerhalb des doc_root? Das wäre noch ein sicherheitsrelevant - neben der genannten Einwegverschlüsselung.

Kommentare sind wichtig, aber übertreiben solltest du nicht:
Übrigends sind Umlaute etc. in Kommentaren oft problematisch.

Ach ja:

$pass == "$row[password]"

Setz mal dein error reporting level hoch (php.ini: error_reporting = E_ALL). Es müsste natürlich

$pass == $row['password']

heißen.

Dann ist ein Mischmasch aus deutschen und englischen Variablennamen und auch Kommentaren nicht gerade die saubere Art - andererseits ist es natürlich produktiver, die Variablen erstmal deutsch oder schlecht-englisch zu benennen, anstatt erstmal 10 Minuten das Computerenglisch-Lexikon zu wälzen.

Anstatt mysql_fetch_array() immer mysql_fetsch_assoc() etc. verwenden, da diese Funktion den Datensatz ja doppelt zurückgib (einmal mit Indizes 0-n und dann noch mit den Spaltennamen als Index).

Ansonsten übernimm einfach den Code von "axo", sobald du ihn verstanden hast - oder auch schon vorher. Falls $user und $pass über ein Formular eingegeben wurden musst du allerdings noch magic_quotes_gpc auswerten, sonst escapest du eventuell doppelt (...äh grad keine Lust das weiter auszuführen ... muss noch'n paar Rechner fit machen).

Bastel

Hi,

Danke bbastix das du dich zu meinem Code geäußerst hast. Die dbconnect.php liegt im gleichen Verzeichnis wie das login script. Ausserhalb des doc_roots kann ich die Datei nicht plazieren da es nicht mein eigener Server ist oder liege ich da falsch. Danke für den Tipp mit den Umlauten, werde ich mir merken.

Das "error reporting level" kann ich nicht höher setzen weil ich die php.ini nicht editieren kann. (Nicht eigener Server und so)

Das mit der mysql_fetch_assoc() muss ich mir mal genauer angucken...danke für den tipp.

Gruß Olli

Basti

Hallo Olli.

Na das kommt drauf an, ob dir dein Provider für deinen Tarif ermöglicht, den doc_root pro (Sub)Domain frei zu wählen. Ich hatte anfangs mal einen Provider, bei dem das nicht möglich war - sowas gibts also. In dem Fall solltest du diese und ggf. auch andere Dateien in ein Verzeichnis, z.B. config/, local/, inc/, inc/local whatever legen und dieses mit einer .htacces-Datei schützen (die .htaccess hieß bei eben dem Provider übrigends auch nicht .htaccess, sondern irgendwie anders *g*).

Der Hintegrund ist der, dass die (unwahrscheinliche aber reale) Gefahr besteht, dass irgendwann mal dein PHP nicht anspringt, wohl aber der Webserver. In dem Fall erhalten deine Besucher den PHP-Quellcode ausgeliefert. Folglich dürfen hier keine Sicherheitsrelevanten Infos wie Datenbankpasswörter enthalten sein. Wahrscheinlich wird dein Provider zwar remote Zugriffe auf deinen Datenbankserver unterbinden - dennoch würde ich mich nich darauf verlassen. Und natürlich haben auch andere Hosing-Kunden Zugriff auf deinen DB-Server!

ini_set() ist dein Freund. *g*

Liebe Grüße,
Basti

Malfunction

Diese Aussage ist so, wie sie da steht kompletter Quark. Du scheinst nicht wirklich zu wissen, wofür man MD5-Hashing alles verwenden kann - nein ich werde jetzt hier niemanden langweilen.

Nix gegen Selfhtml & Co, aber das als "Fachliteratur" zu bezeichnen ist schon etwas überheblich.