Anfänger bittet um KleinLoginScriptPrüfung / PHP und MySql

prinzli · 05.11.2007, 23:06

Hallo zusammen..

wie schon in der MySql-Ecke angekündigt, möchte ich hier gerne mein kleines Script posten, das ich zu Test - und vorallem zu Lernzwecken zusammengebaut habe.
es handelt sich dabei einfach darum, mit MySql und PHP umgehen zu lernen. Design spielt hier keine Rolle.

Ich habe versucht, mit schlichten Wegen ein kleines Login-Script zu taufen..

Angenommen, Ihr habt Zeit dieses zu analysieren mit Eurem Profi-Auge, wäre es für mich sehr hilfreich über Aussagen von schwerwiegenden Fehlern und Dinge, die vielleicht bei mir bei Testen zufällg funktionierten, doch im Grunde "minusNull" sind...

EDIT: CODE in PHP-Code (schön farbig..

)

Die Seiten:
inc/config.php
registrieren.php
register_save.php
einloggen.php
login.php
profil.php
optionen_eintragen.php
save_optionen.php
logout.php

die Templates (poste den Code hier nicht)
temp_registrieren.php
temp_einloggen.php
temp_profil.php
temp_optionen_eintragen.php

inc/config.php:

PHP-Code:

  <?php

error_reporting(E_ALL); 

 
// Verbindung zur Datenbank

 
$db_server = 'localhost';

$db_name = 'link';

$db_user = 'link';

$db_passwort = 'xxx';

 
$db = mysql_connect( $db_server, $db_user, $db_passwort )

    or die ('es konnte keine Verbindung mit der Datenbank aufgebaut werden');

$db_select = mysql_select_db( $db_name );

?>

registrieren.php

PHP-Code:

  <?php

session_start();

    if ($_SESSION["benutzer_id"] == true)

    {

    echo "
";

    echo "Sie sind bereits eingeloggt";

    }

    else

    {

    require_once("temp_registrieren.php");

    }

?>

register_save.php

PHP-Code:

  <?php

include ("inc/config.php");

 
// EINTRAG IN DIE DATENBANK

 
    $benutzername = $_POST['benutzername'];

    $passwort = $_POST['passwort'];

    $vorname = $_POST['vorname'];

    $nachname = $_POST['nachname'];

    $email = $_POST['email'];

    $land = $_POST['land'];

    

    

// PRUEFEN OB BENUTZERNAME SCHON VORHANDEN    

 
    $pruefung = "SELECT * FROM benutzer";

      $pruef = mysql_query($pruefung) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $pruefung . ", Fehlermeldung: " . mysql_error()); 

    $vergleich = mysql_fetch_array($pruef);

    

    if ($benutzername == $vergleich['benutzername'])

    {

    echo "Benutzername schon vergeben.";

    echo "
";

    echo "Bitte wählen Sie einen anderen Benutzernamen";

    echo "
";

    echo '[url="javascript:history.go(-1)"]&gt;&gt;ändern &lt;&lt;[/url]';

    }

    else

    {

// FELDER PRUEFEN

 
    if ($benutzername == true 

    AND 

    $passwort == true 

    AND

    $vorname == true 

    AND

    $nachname == true 

    AND

    $email == true 

    AND

    $land == true) 

    {

    $eintrag_b = "INSERT INTO benutzer (benutzername, passwort, vorname, nachname, email, land) VALUES ('$benutzername', '$passwort', '$vorname', '$nachname','$email', '$land')";

    $eintragen = mysql_query($eintrag_b) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $eintrag . ", Fehlermeldung: " . mysql_error());

    

    echo "Die Registrierung war erfolgreich.";

    echo '[url="profil.php"]weiter[/url]';

    }

    else

    {

    echo "Bitte füllen Sie alle Felder aus";

    echo "
";

    echo '[url="javascript:history.go(-1)"]&gt;&gt;nochmals versuchen &lt;&lt;[/url]';

    }

    }

?>

einloggen.php

PHP-Code:

  <?php

    session_start();

    if ($_SESSION["benutzer_id"] == true)

    {

    echo "
";

    echo "Sie sind bereits eingeloggt";

    }

    else

    {

    require_once("temp_einloggen.php");

    }

?>

login.php

PHP-Code:

  <?php

include ("inc/config.php");

 
    if ($_POST['benutzername'] == true AND $_POST['passwort'] == true) 

    {

    $benutzername = $_POST['benutzername'];

    $passwort = $_POST['passwort'];

 
 
// ABFRAGE DATENBANK

 
    $benutzer = "SELECT * FROM benutzer WHERE benutzername = '$benutzername' ";

    $result = mysql_query($benutzer)or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $benutzer . ", Fehlermeldung: " . mysql_error());

     $uebereinstimmung = mysql_fetch_array($result); 

    }

    if ($_POST['benutzername'] == $uebereinstimmung['benutzername'] AND $_POST['passwort'] == $uebereinstimmung['passwort'])

    {

    echo "
";

    echo "Benutzerdaten vorhanden";

    

    session_start();

    $benutzer_id = $uebereinstimmung['id'];

    $_SESSION["bname"] = $benutzername; 

    $_SESSION["passwort"] = $passwort;

    $_SESSION["benutzer_id"] = $benutzer_id; 

    

    echo "
";

    echo '[url="profil.php"]&gt;&gt;zum Profil &lt;&lt;[/url]';

    echo "
";

    echo "
";

    echo "Für Testzwecke";

    echo "
";

    echo "ausgelesener Benutzername: $benutzername";

    echo "
";

    echo "ausgelesenes Passwort: $passwort";

    echo "
";

    echo "ausgelesene Benutzer-ID: $benutzer_id";

    echo "
";

    }

    else

    {

    echo "Benutzerdaten ungültig";

    echo "
";

    echo '[url="javascript:history.go(-1)"]&gt;&gt;nochmals versuchen &lt;&lt;[/url]';

    echo "
";

    echo "
";

    echo "keine Session aufgezeichnet";

    echo "
";

    }

    

    

// DATENBANK SCHLIESSEN

 
    $db_close = mysql_close ( $db );

 
    if ( $db_close )

    {

    echo "
";

        echo 'Verbindung zur Datenbank geschlossen';

        echo "
";

       }

        else

        {

        echo 'Konnte Verbindung zur Datenbank nicht schliessen';

        }

?>

profil.php

PHP-Code:

  <?php

include ("inc/config.php");

 
    session_start();

 
// DATENBANKABFRAGE    

 
    if ($_SESSION == true)

     {

      $babfrage = "SELECT * FROM benutzer WHERE id = '".$_SESSION['benutzer_id']."'";

      $myprofil = mysql_query($babfrage) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $babfrage . ", Fehlermeldung: " . mysql_error()); 

      $pzeile = mysql_fetch_array($myprofil);

  

    require_once("temp_profil.php"); 

    echo "
";

    echo 'session ist mit '.$_SESSION["bname"].' und  '.$_SESSION["benutzer_id"].' und  '.$_SESSION["passwort"].' gefüllt';

    

 
 
// ZUM USER GEHOEREN

 
     $c_abfrage = "SELECT * FROM benutzer_optionen WHERE benutzername = '".$_SESSION['bname']."'";

      $myoption = mysql_query($c_abfrage) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $c_abfrage . ", Fehlermeldung: " . mysql_error()); 

    

    while ($bo_zeile = mysql_fetch_array($myoption)) 

    {

    echo '<p align="center">';

    echo "
";

    echo "Ihre dazugehörenden Optionen:";

    echo "
";

    echo "<table>";

    echo "<tr>";

    echo '<td width="100px">';

    echo "ID OPTION  ";

    echo "</td>";

    echo '<td width="100px">';

    echo ''. $bo_zeile['benutzer_id'].'';

    echo "</td>";

    echo "</tr>";

    

    echo "<tr>";

    echo '<td width="100px">';

    echo "BENUTZERNAME  ";

    echo "</td>";

    echo '<td width="100px">';

    echo ''. $bo_zeile['benutzername'].'';

    echo "</td>";

    echo "</tr>";

    

    echo "<tr>";

    echo '<td width="100px">';

    echo "DATUM  ";

    echo "</td>";

    echo '<td width="100px">';

    echo ''. $bo_zeile['datum'].'';

    echo "</td>";

    echo "</tr>";

    

    echo "<tr>";

    echo '<td width="100px">';

    echo "WEBSITE  ";

    echo "</td>";

    echo '<td width="100px">';

    echo ''. $bo_zeile['webseite'].'';

    echo "</td>";

    echo "</tr>";

    

    echo "</table>";

    }

    }

    else

    {

    echo "bitte loggen sie sich ein";

}

echo "</p>";

?>

optionen_eintragen.php

PHP-Code:

  <?php

    session_start();

    if ($_SESSION["benutzer_id"] == true)

    {

    require_once("temp_optionen_eintragen.php");

    }

    else

    {

    echo "
";

    echo "Sie sind nicht eingeloggt";

    echo "
";

    require_once("temp_einloggen.php");

    }

?>

save_optionen.php

PHP-Code:

  <?php

include ("inc/config.php");

 
    session_start();

 
// UEBERGABE  / ABFRAGE OB EINGELOGGT

 
    $webseite = $_POST['webseite'];

    if ($_SESSION == true) 

    {

    $benutzername = $_SESSION["bname"];

    $benutzer_id = $_SESSION["benutzer_id"];

    $datum = date("d.m.Y");

    

    echo "
";

    echo 'Sie sind eingeloggt als '.$_SESSION["bname"].'';

    echo "
";

    echo 'Ihre Benutzer-ID ist  '.$_SESSION["benutzer_id"].'';

    echo "
";

    echo "
";

    

    

// EINTRAG IN "BENUTZER_OPTIONEN"

 
    $eintrag_bo = "INSERT INTO benutzer_optionen (webseite, benutzername, datum, benutzer_id) VALUES ('$webseite', '$benutzername', '$datum', '$benutzer_id')";

    $eintragen = mysql_query($eintrag_bo) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $eintrag . ", Fehlermeldung: " . mysql_error());

    

    echo "Optionen erfolgreich eingetragen";

    echo "
";

    echo '[url="profil.php"]weiter[/url]';

    }

    else

    {

    echo "Sie sind nicht eingeloggt";

    echo "
";

    echo '[url="einloggen.php"]Einloggen[/url]';

    echo "
";

    }    

    

// DATENBANK SCHLIESSEN

 
    $db_close = mysql_close ( $db );

 
    if ( $db_close )

    {

    echo "
";

        echo 'Verbindung zur Datenbank geschlossen';

        echo "
";

       }

        else

        {

        echo 'Konnte Verbindung zur Datenbank nicht schliessen';

        }

    ?>

logout.php

PHP-Code:

  <?php

    session_start();

    session_unset();

 
    echo "sie haben sich erfolgreich ausgeloggt";

    echo "
";

    echo '[url="profil.php"]&gt;&gt;zum Profil &lt;&lt;[/url]';

    echo "
";

?>

Vielen Dank im voraus..

Gruss Prinzli

cycap · 06.11.2007, 10:23

Also ich hab jetzt mal nur ganz schnell nen Blick drüber geworfen und dabei ist mir schonmal aufgefallen das du bei nem erfolgreichen Login eigentlich die Fehlermeldung "headers already sent" bekommen müsstest, weil du ein echo machst bevor dein session_start() kommt. Generell sollte session_start() als allererstes ausgeführt werden, MUSS aber auf jedenfall vor irgendeiner Ausgabe deines Scriptes gemacht werden.

Desweiteren ist mir in deinen If-Bedindungen das "== true" aufgefallen. Das ist zwar nicht falsch, aber überflüssig. Eine Bedingung wird generell auf ihre Wahrheit überprüft.

Außerdem solltest du dich mehr um den Inhalt deiner Variablen kümmern. Insbesondere um die Formulareingaben. Du prüfst zwar ob es den Benutzernamen bei einer Registrierung schon gibt, aber nicht ob der vielleicht ungültige oder sogar schädliche Zeichen enthält.

Ich hab wie gesagt nur nen kurzen Blick drüber geworfen...

Gruß
Tim

Simon9990 · 06.11.2007, 12:13

Was mir aufgefallen ist und eine große Sicherheitslücke darstellt ist dein Umgang mit $_POST Variablen in deinen Mysql Queries.
Es kann hier jeder Wert eingegeben werden und denk daran, diesem genemigst du Zugriff auf die DB.

>> Infos zu SQL Injections <<

lazydog · 06.11.2007, 12:58

Zitat:

Zitat von prinzli

Design spielt hier keine Rolle

Das der Seite vielleicht nicht, das des Codes sehr wohl. Deshalb rücke den Code ein und verwende PHP- statt Code-Tags, dann wird alles sehr schön bunt.
Deshhalb hab ich's auch nur kurz überflogen. Eigentliche Fehler habe ich keine gesehen, aber ein paar Unschönheiten:

SELECT * FROM sollte nur in begründeten Ausnahmefällen verwendet werden.
Das Verknüpfen von Leerstrings mit Variablen macht nicht viel Sinn

PHP-Code:

<?php echo ''. $bo_zeile['benutzername'].''; // ist dasselbe wie echo $bo_zeile['benutzername'];
Umlaute sollten als Entities geschrieben (oder mit htmlentities() behandelt) werden
Sicherheitsaspekte wurden schon erwähnt

Und wenn du uns noch sagst, welches das Startscript ist, können wir vielleicht auch die Logik noch nachvollziehen (das zu suchen ist mir in diesem Code zu aufwändig).

prinzli · 06.11.2007, 16:05

Hallo zusammen..

Danke schon mal für die Feedbacks..

Zitat:

Und wenn du uns noch sagst, welches das Startscript ist, können wir vielleicht auch die Logik noch nachvollziehen (das zu suchen ist mir in diesem Code zu aufwändig).

Im Grunde gibt es hier nicht wirklich ein StartScript.. da ich Ähnliches dann in eine Webseite einbinde.. Hier.. ich sage jetzt mal.. könnte man die "einloggen.php" oder die "registrieren.php" als StartScript benennen..

Gruss
Prinzli

cycap · 06.11.2007, 16:41

Nochwas: du solltest dir mal isset() angucken, denn:

Code:

 if ($_SESSION["benutzer_id"] == true)

funktioniert zwar soweit, aber wenn deine benutzer_id 0 sein sollte ist die Bedingung falsch. Denn 0 entspricht false und du prüfst hier ob der Wert der Variable true ist. Und wie gesagt kannst du das == true sowieso weglassen.

ein

Code:

if(isset($_SESSION["benutzer_id"]))

sieht nicht nur besser aus sondern ist auch sinnvoller

Ansonsten auch die o.g. Punkte beachten

prinzli · 07.11.2007, 20:53

@ Simon9990

Zitat:

Was mir aufgefallen ist und eine große Sicherheitslücke darstellt ist dein Umgang mit $_POST Variablen in deinen Mysql Queries.
Es kann hier jeder Wert eingegeben werden und denk daran, diesem genemigst du Zugriff auf die DB.

Danke dem Hinweis...

Meine Frage dazu: Ist dies auch sinnvoll, dies in eine Variable zu schreiben und dann für die Sql-Abfragen die $var zu brauchen..?
Zum Beispiel so:

PHP-Code:

  $benutzername = mysql_real_escape_string($_POST['benutzername']);

Gruss Prinzli

prinzli · 07.11.2007, 21:08

Hallo zusammen..

Herzlichen Dank Euren Hinweisen und Bemerkungen..

Nun habe ich mal die "login.php" ein bisschen abgeändert:

login.php:

PHP-Code:

  session_start();

 
 
// ABFRAGE SCHON EINGELOGGT

 
if (isset($_SESSION["benutzer_id"]))

  {

    echo "sie sind bereits eingeloggt";

      }

      else

        {

      

    // ABFRAGE OB FORMULARFELDER AUSGEFUELLT WURDEN

 
      if (mysql_real_escape_string($_POST['benutzername']) == false OR mysql_real_escape_string($_POST['passwort'])== false )

        {

        echo "bitte füllen Sie alle Felder aus";

        echo "
";

        echo '[url="javascript:history.go(-1)"]&gt;&gt;nochmals versuchen &lt;&lt;[/url]';

        }

        else 

        {

        $benutzername = mysql_real_escape_string($_POST['benutzername']);

        $passwort = mysql_real_escape_string($_POST['passwort']);

 
        // ABFRAGE DATENBANK

 
        $benutzer = "SELECT benutzername, passwort, id FROM benutzer WHERE benutzername = '$benutzername'";

        $result = mysql_query($benutzer)or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $benutzer . ",        Fehlermeldung: " . mysql_error());

        $uebereinstimmung = mysql_fetch_array($result); 

 
 
    // ABFRAGE OB DER BENUTZER UND PASSWORT UEBEREINSTIMMT MIT DATENBANK

    

        if ($benutzername == $uebereinstimmung['benutzername'] AND $passwort == $uebereinstimmung['passwort'])

        {

 
        $benutzer_id = $uebereinstimmung['id'];

        $_SESSION["bname"] = $benutzername; 

        $_SESSION["passwort"] = $passwort;

        $_SESSION["benutzer_id"] = $benutzer_id; 

 
        echo "
";

        echo "Benutzerdaten vorhanden";

        echo "
";

        echo '[url="profil.php"]&gt;&gt;zum Profil &lt;&lt;[/url]';

        echo "
";

        echo "
";

        echo "Für Testzwecke";

        echo "
";

        echo "ausgelesener Benutzername: $benutzername";

        echo "
";

        echo "ausgelesenes Passwort: $passwort";

        echo "
";

        echo "ausgelesene Benutzer-ID: $benutzer_id";

        echo "
";

        

            // DATENBANK SCHLIESSEN

 
            $db_close = mysql_close ( $db );

            if ( $db_close )

            {

            echo "
";

                echo 'Verbindung zur Datenbank geschlossen';

                echo "
";

               }

                else

                {

                echo 'Konnte Verbindung zur Datenbank nicht schliessen';

                }

                

        }

        else

        {

        echo "Benutzerdaten ungültig";

        echo "
";

        echo '[url="javascript:history.go(-1)"]&gt;&gt;nochmals versuchen &lt;&lt;[/url]';

        echo "
";

        echo "
";

        echo "keine Session aufgezeichnet";

        echo "
";

        }

    }

  }    

?>

Ist dies "akzeptabel so"..?

Gruss Prinzli

Der_Gerhard · 07.11.2007, 22:58

Zitat:

Zitat von prinzli

PHP-Code:

  <?

        echo "
";

        echo "Benutzerdaten vorhanden";

        echo "
";

        echo '[url="profil.php"]&gt;&gt;zum Profil &lt;&lt;[/url]';

        echo "
";

        echo "
";

        echo "Für Testzwecke";

        echo "
";

        echo "ausgelesener Benutzername: $benutzername";

        echo "
";

        echo "ausgelesenes Passwort: $passwort";

        echo "
";

        echo "ausgelesene Benutzer-ID: $benutzer_id";

        echo "
";

?>

Ich würde solche Echo-Massaker vermeiden. Außerdem nehme ich seit längerem
statt

Das sieht dann so aus:

PHP-Code:

  <?

        echo "
Benutzerdaten vorhanden
\n".

             "[url='profil.php']&gt;&gt;zum Profil &lt;&lt;[/url]

\n".

             "Für Testzwecke
\n".

             "ausgelesener Benutzername: $benutzername
\n".

             "ausgelesenes Passwort: $passwort
\n".

             "ausgelesene Benutzer-ID: $benutzer_id
\n";

?>

Das ist sonst nur unnötiger Code und macht die Sache nicht übersichtlicher.

Zergling-new · 07.11.2007, 23:12

Lieber Heredoc benutzen, oder Templating:

PHP-Code:

  <?php

echo <<<HTML

Benutzerdaten vorhanden
\n".

[url='profil.php']&gt;&gt;zum Profil &lt;&lt;[/url]

 
Für Testzwecke
 
ausgelesener Benutzername: $benutzername
 
ausgelesenes Passwort: $passwort
 
ausgelesene Benutzer-ID: $benutzer_id
 
HTML;

?>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] MySQL - ERROR 1044 bei erstellen einer Datenbank	_youngenterpriser_	Datenbanken	2	05.02.2008 17:56
Mysql Server Einstellunen Optimieren	pchero	Datenbanken	3	01.05.2007 19:50
[Erledigt] Kein Zugriff über ODBC mit der IP-Adresse auf MySql DB		Datenbanken	4	09.02.2006 11:04
Mysql 4.1.x unter php 4.3.9		Datenbanken	3	15.11.2005 13:49
[Erledigt] Schnittstelle zwischen PHP und MySQL klappt net !!!		Datenbanken	16	16.10.2005 14:24
[Erledigt] not allowed to connect to this MySQL server		PHP Tipps 2005-2	2	23.09.2005 18:34
MySQL &amp; PHP: Problem mit Password()		Datenbanken	10	19.09.2005 11:00
[Erledigt] MySQL Befehl für MySQL 4.0.24		Datenbanken	2	23.08.2005 17:35
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
MYSQL läuft nur wenn /tmp auf 777		Datenbanken	5	06.07.2005 08:38
mysql root passwort vergessen		Datenbanken	1	29.05.2005 11:33
MYSQL Verwaltung	Stümper	Datenbanken	1	25.11.2004 10:10
[Erledigt] Access denied for user: '@localhost' / SYSTEM@localhost		Datenbanken	0	10.11.2004 20:35
MySQL Erweiterungen nicht gefunden		Datenbanken	4	27.08.2004 23:53
PHP5 &amp;amp;amp;amp;amp;amp;amp;amp;amp; MySQL		Datenbanken	5	01.08.2004 05:47

05.11.2007, 23:06
prinzli Erfahrener Benutzer Registriert seit: 21.10.2007 Beiträge: 120	Anfänger bittet um KleinLoginScriptPrüfung / PHP und MySql Hallo zusammen.. wie schon in der MySql-Ecke angekündigt, möchte ich hier gerne mein kleines Script posten, das ich zu Test - und vorallem zu Lernzwecken zusammengebaut habe. es handelt sich dabei einfach darum, mit MySql und PHP umgehen zu lernen. Design spielt hier keine Rolle. Ich habe versucht, mit schlichten Wegen ein kleines Login-Script zu taufen.. Angenommen, Ihr habt Zeit dieses zu analysieren mit Eurem Profi-Auge, wäre es für mich sehr hilfreich über Aussagen von schwerwiegenden Fehlern und Dinge, die vielleicht bei mir bei Testen zufällg funktionierten, doch im Grunde "minusNull" sind... EDIT: CODE in PHP-Code (schön farbig.. ) Die Seiten: inc/config.php registrieren.php register_save.php einloggen.php login.php profil.php optionen_eintragen.php save_optionen.php logout.php die Templates (poste den Code hier nicht) temp_registrieren.php temp_einloggen.php temp_profil.php temp_optionen_eintragen.php inc/config.php: PHP-Code: `<?php error_reporting(E_ALL); // Verbindung zur Datenbank $db_server = 'localhost'; $db_name = 'link'; $db_user = 'link'; $db_passwort = 'xxx'; $db = mysql_connect( $db_server, $db_user, $db_passwort ) or die ('es konnte keine Verbindung mit der Datenbank aufgebaut werden'); $db_select = mysql_select_db( $db_name ); ?>` registrieren.php PHP-Code: `<?php session_start(); if ($_SESSION["benutzer_id"] == true) { echo " "; echo "Sie sind bereits eingeloggt"; } else { require_once("temp_registrieren.php"); } ?>` register_save.php PHP-Code: <?php include ("inc/config.php"); // EINTRAG IN DIE DATENBANK $benutzername = $_POST['benutzername']; $passwort = $_POST['passwort']; $vorname = $_POST['vorname']; $nachname = $_POST['nachname']; $email = $_POST['email']; $land = $_POST['land']; // PRUEFEN OB BENUTZERNAME SCHON VORHANDEN $pruefung = "SELECT * FROM benutzer"; $pruef = mysql_query($pruefung) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $pruefung . ", Fehlermeldung: " . mysql_error()); $vergleich = mysql_fetch_array($pruef); if ($benutzername == $vergleich['benutzername']) { echo "Benutzername schon vergeben."; echo " "; echo "Bitte wählen Sie einen anderen Benutzernamen"; echo " "; echo '[url="javascript:history.go(-1)"]>>ändern <<[/url]'; } else { // FELDER PRUEFEN if ($benutzername == true AND $passwort == true AND $vorname == true AND $nachname == true AND $email == true AND $land == true) { $eintrag_b = "INSERT INTO benutzer (benutzername, passwort, vorname, nachname, email, land) VALUES ('$benutzername', '$passwort', '$vorname', '$nachname','$email', '$land')"; $eintragen = mysql_query($eintrag_b) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $eintrag . ", Fehlermeldung: " . mysql_error()); echo "Die Registrierung war erfolgreich."; echo '[url="profil.php"]weiter[/url]'; } else { echo "Bitte füllen Sie alle Felder aus"; echo " "; echo '[url="javascript:history.go(-1)"]>>nochmals versuchen <<[/url]'; } } ?> einloggen.php PHP-Code: `<?php session_start(); if ($_SESSION["benutzer_id"] == true) { echo " "; echo "Sie sind bereits eingeloggt"; } else { require_once("temp_einloggen.php"); } ?>` login.php PHP-Code: <?php include ("inc/config.php"); if ($_POST['benutzername'] == true AND $_POST['passwort'] == true) { $benutzername = $_POST['benutzername']; $passwort = $_POST['passwort']; // ABFRAGE DATENBANK $benutzer = "SELECT * FROM benutzer WHERE benutzername = '$benutzername' "; $result = mysql_query($benutzer)or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $benutzer . ", Fehlermeldung: " . mysql_error()); $uebereinstimmung = mysql_fetch_array($result); } if ($_POST['benutzername'] == $uebereinstimmung['benutzername'] AND $_POST['passwort'] == $uebereinstimmung['passwort']) { echo " "; echo "Benutzerdaten vorhanden"; session_start(); $benutzer_id = $uebereinstimmung['id']; $_SESSION["bname"] = $benutzername; $_SESSION["passwort"] = $passwort; $_SESSION["benutzer_id"] = $benutzer_id; echo " "; echo '[url="profil.php"]>>zum Profil <<[/url]'; echo " "; echo " "; echo "Für Testzwecke"; echo " "; echo "ausgelesener Benutzername: $benutzername"; echo " "; echo "ausgelesenes Passwort: $passwort"; echo " "; echo "ausgelesene Benutzer-ID: $benutzer_id"; echo " "; } else { echo "Benutzerdaten ungültig"; echo " "; echo '[url="javascript:history.go(-1)"]>>nochmals versuchen <<[/url]'; echo " "; echo " "; echo "keine Session aufgezeichnet"; echo " "; } // DATENBANK SCHLIESSEN $db_close = mysql_close ( $db ); if ( $db_close ) { echo " "; echo 'Verbindung zur Datenbank geschlossen'; echo " "; } else { echo 'Konnte Verbindung zur Datenbank nicht schliessen'; } ?> profil.php PHP-Code: <?php include ("inc/config.php"); session_start(); // DATENBANKABFRAGE if ($_SESSION == true) { $babfrage = "SELECT * FROM benutzer WHERE id = '".$_SESSION['benutzer_id']."'"; $myprofil = mysql_query($babfrage) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $babfrage . ", Fehlermeldung: " . mysql_error()); $pzeile = mysql_fetch_array($myprofil); require_once("temp_profil.php"); echo " "; echo 'session ist mit '.$_SESSION["bname"].' und '.$_SESSION["benutzer_id"].' und '.$_SESSION["passwort"].' gefüllt'; // ZUM USER GEHOEREN $c_abfrage = "SELECT * FROM benutzer_optionen WHERE benutzername = '".$_SESSION['bname']."'"; $myoption = mysql_query($c_abfrage) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $c_abfrage . ", Fehlermeldung: " . mysql_error()); while ($bo_zeile = mysql_fetch_array($myoption)) { echo '<p align="center">'; echo " "; echo "Ihre dazugehörenden Optionen:"; echo " "; echo "<table>"; echo "<tr>"; echo '<td width="100px">'; echo "ID OPTION "; echo "</td>"; echo '<td width="100px">'; echo ''. $bo_zeile['benutzer_id'].''; echo "</td>"; echo "</tr>"; echo "<tr>"; echo '<td width="100px">'; echo "BENUTZERNAME "; echo "</td>"; echo '<td width="100px">'; echo ''. $bo_zeile['benutzername'].''; echo "</td>"; echo "</tr>"; echo "<tr>"; echo '<td width="100px">'; echo "DATUM "; echo "</td>"; echo '<td width="100px">'; echo ''. $bo_zeile['datum'].''; echo "</td>"; echo "</tr>"; echo "<tr>"; echo '<td width="100px">'; echo "WEBSITE "; echo "</td>"; echo '<td width="100px">'; echo ''. $bo_zeile['webseite'].''; echo "</td>"; echo "</tr>"; echo "</table>"; } } else { echo "bitte loggen sie sich ein"; } echo "</p>"; ?> optionen_eintragen.php PHP-Code: `<?php session_start(); if ($_SESSION["benutzer_id"] == true) { require_once("temp_optionen_eintragen.php"); } else { echo " "; echo "Sie sind nicht eingeloggt"; echo " "; require_once("temp_einloggen.php"); } ?>` save_optionen.php PHP-Code: <?php include ("inc/config.php"); session_start(); // UEBERGABE / ABFRAGE OB EINGELOGGT $webseite = $_POST['webseite']; if ($_SESSION == true) { $benutzername = $_SESSION["bname"]; $benutzer_id = $_SESSION["benutzer_id"]; $datum = date("d.m.Y"); echo " "; echo 'Sie sind eingeloggt als '.$_SESSION["bname"].''; echo " "; echo 'Ihre Benutzer-ID ist '.$_SESSION["benutzer_id"].''; echo " "; echo " "; // EINTRAG IN "BENUTZER_OPTIONEN" $eintrag_bo = "INSERT INTO benutzer_optionen (webseite, benutzername, datum, benutzer_id) VALUES ('$webseite', '$benutzername', '$datum', '$benutzer_id')"; $eintragen = mysql_query($eintrag_bo) or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $eintrag . ", Fehlermeldung: " . mysql_error()); echo "Optionen erfolgreich eingetragen"; echo " "; echo '[url="profil.php"]weiter[/url]'; } else { echo "Sie sind nicht eingeloggt"; echo " "; echo '[url="einloggen.php"]Einloggen[/url]'; echo " "; } // DATENBANK SCHLIESSEN $db_close = mysql_close ( $db ); if ( $db_close ) { echo " "; echo 'Verbindung zur Datenbank geschlossen'; echo " "; } else { echo 'Konnte Verbindung zur Datenbank nicht schliessen'; } ?> logout.php PHP-Code: `<?php session_start(); session_unset(); echo "sie haben sich erfolgreich ausgeloggt"; echo " "; echo '[url="profil.php"]>>zum Profil <<[/url]'; echo " "; ?>` Vielen Dank im voraus.. Gruss Prinzli


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.11.2007, 10:23
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Also ich hab jetzt mal nur ganz schnell nen Blick drüber geworfen und dabei ist mir schonmal aufgefallen das du bei nem erfolgreichen Login eigentlich die Fehlermeldung "headers already sent" bekommen müsstest, weil du ein echo machst bevor dein session_start() kommt. Generell sollte session_start() als allererstes ausgeführt werden, MUSS aber auf jedenfall vor irgendeiner Ausgabe deines Scriptes gemacht werden. Desweiteren ist mir in deinen If-Bedindungen das "== true" aufgefallen. Das ist zwar nicht falsch, aber überflüssig. Eine Bedingung wird generell auf ihre Wahrheit überprüft. Außerdem solltest du dich mehr um den Inhalt deiner Variablen kümmern. Insbesondere um die Formulareingaben. Du prüfst zwar ob es den Benutzernamen bei einer Registrierung schon gibt, aber nicht ob der vielleicht ungültige oder sogar schädliche Zeichen enthält. Ich hab wie gesagt nur nen kurzen Blick drüber geworfen... Gruß Tim

06.11.2007, 12:13
Simon9990 Erfahrener Benutzer Registriert seit: 16.05.2004 Beiträge: 369	Was mir aufgefallen ist und eine große Sicherheitslücke darstellt ist dein Umgang mit $_POST Variablen in deinen Mysql Queries. Es kann hier jeder Wert eingegeben werden und denk daran, diesem genemigst du Zugriff auf die DB. >> Infos zu SQL Injections << __________________ Der G-Translator

06.11.2007, 16:41
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Nochwas: du solltest dir mal isset() angucken, denn: Code: if ($_SESSION["benutzer_id"] == true) funktioniert zwar soweit, aber wenn deine benutzer_id 0 sein sollte ist die Bedingung falsch. Denn 0 entspricht false und du prüfst hier ob der Wert der Variable true ist. Und wie gesagt kannst du das == true sowieso weglassen. ein Code: if(isset($_SESSION["benutzer_id"])) sieht nicht nur besser aus sondern ist auch sinnvoller Ansonsten auch die o.g. Punkte beachten

07.11.2007, 21:08
prinzli Erfahrener Benutzer Registriert seit: 21.10.2007 Beiträge: 120	Hallo zusammen.. Herzlichen Dank Euren Hinweisen und Bemerkungen.. Nun habe ich mal die "login.php" ein bisschen abgeändert: login.php: PHP-Code: session_start(); // ABFRAGE SCHON EINGELOGGT if (isset($_SESSION["benutzer_id"])) { echo "sie sind bereits eingeloggt"; } else { // ABFRAGE OB FORMULARFELDER AUSGEFUELLT WURDEN if (mysql_real_escape_string($_POST['benutzername']) == false OR mysql_real_escape_string($_POST['passwort'])== false ) { echo "bitte füllen Sie alle Felder aus"; echo " "; echo '[url="javascript:history.go(-1)"]>>nochmals versuchen <<[/url]'; } else { $benutzername = mysql_real_escape_string($_POST['benutzername']); $passwort = mysql_real_escape_string($_POST['passwort']); // ABFRAGE DATENBANK $benutzer = "SELECT benutzername, passwort, id FROM benutzer WHERE benutzername = '$benutzername'"; $result = mysql_query($benutzer)or die("Fehler in Zeile " . __LINE__ . " in der Abfrage " . $benutzer . ", Fehlermeldung: " . mysql_error()); $uebereinstimmung = mysql_fetch_array($result); // ABFRAGE OB DER BENUTZER UND PASSWORT UEBEREINSTIMMT MIT DATENBANK if ($benutzername == $uebereinstimmung['benutzername'] AND $passwort == $uebereinstimmung['passwort']) { $benutzer_id = $uebereinstimmung['id']; $_SESSION["bname"] = $benutzername; $_SESSION["passwort"] = $passwort; $_SESSION["benutzer_id"] = $benutzer_id; echo " "; echo "Benutzerdaten vorhanden"; echo " "; echo '[url="profil.php"]>>zum Profil <<[/url]'; echo " "; echo " "; echo "Für Testzwecke"; echo " "; echo "ausgelesener Benutzername: $benutzername"; echo " "; echo "ausgelesenes Passwort: $passwort"; echo " "; echo "ausgelesene Benutzer-ID: $benutzer_id"; echo " "; // DATENBANK SCHLIESSEN $db_close = mysql_close ( $db ); if ( $db_close ) { echo " "; echo 'Verbindung zur Datenbank geschlossen'; echo " "; } else { echo 'Konnte Verbindung zur Datenbank nicht schliessen'; } } else { echo "Benutzerdaten ungültig"; echo " "; echo '[url="javascript:history.go(-1)"]>>nochmals versuchen <<[/url]'; echo " "; echo " "; echo "keine Session aufgezeichnet"; echo " "; } } } ?> Ist dies "akzeptabel so"..? Gruss Prinzli

07.11.2007, 23:12
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Lieber Heredoc benutzen, oder Templating: PHP-Code: `<?php echo <<<HTML Benutzerdaten vorhanden \n". [url='profil.php']>>zum Profil <<[/url] Für Testzwecke ausgelesener Benutzername: $benutzername ausgelesenes Passwort: $passwort ausgelesene Benutzer-ID: $benutzer_id HTML; ?>`