Probleme bei Domainüberleitung

Sebastian_S · 16.12.2008, 13:42

Hallo,
ich hab ein Problem mit einem Login Skript:
Das Skript liegt auf dem Sever http://sslomski.alfahosting.org/dangl. Auf diese Adresse habe ich eine Subdomain gelegt: http://dangl.sebastian-slomski.de/dangl

Wenn ich mich auf der ersten Adresse einloge (http://sslomski.alfahosting.org/dang...?content=login), funktioniert alles reibungslos. Wenn ich mich aber über die Subdomain einloge, dann funktioniert des ned. Da wird des Skript dann zweimal aufgerufen. Hier ist der Login Quelltext des Login Skripts:
Code:

PHP-Code:

  <?php  include "./config.php";
   if(!isset($_POST['submit'])) 
      header("Location: ../?content=login&amp;error=no_submit");  
   if($_POST['name'] == "" || $_POST['password'] == "") 
      header("Location: ../?content=login&amp;error=no_values");

   $sql = "select count(id) as anzahl from user ";
   $sql = $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';";    
   $res = mysql_query($sql);
   $row = mysql_fetch_array($res); 

   if($row['anzahl'] >= 1){        
      $_SESSION['login'] = true;

      $sql = "select * from user ";        
      $sql = $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';";
      $res = mysql_query($sql);
      $row = mysql_fetch_array($res);      
  
      $_SESSION['id'] = $row['id'];
      header("Location: ../../admin/");    
   }else header("Location: ../?content=login&amp;error=not_found");
?>

In der Config Datei, die inkludiert wird, ist nur der DB Konnektor und der Session Starter

Das Passwort für den User "admin" heißt "the27".

Ich hoffe ihr könnt mir helfen, ich versteh die Welt mitlerweile nimmer

_________________
Gruß,
Seb

illuminatus · 16.12.2008, 17:31

Ich habe zwar keine Lösung für dein Problem, aber ich hoffe, dass du die Möglichkeiten für eine SQL-Injection noch behebst!

Sebastian_S · 16.12.2008, 17:40

Hallo

Zitat:

Zitat von illuminatus

Ich habe zwar keine Lösung für dein Problem, aber ich hoffe, dass du die Möglichkeiten für eine SQL-Injection noch behebst!

???
Wo ist da ne Möglichkeit?

Gruß,
Sebastian

PTC · 16.12.2008, 17:46

Ähh, Fortgeschrittener?? Du? Und du weißt nicht wie man SQL Injections verhindert?

cycap · 16.12.2008, 17:46

ich seh gleich 2

Mod: verschoben

illuminatus · 16.12.2008, 17:47

Zum Beispiel:

Zitat:

Zitat von Sebastian_S

PHP-Code:

  <?php

 
   $sql = $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';";

 
?>

Da!

$_POST['name'] wird ohne überprüfung auf schadhaften SQL-Code in ein Query gesteckt und ausgeführt :O

Oder irre ich?!

Edit: Deswegen auch MöglichkeitEN!

Aber zurück zum Problem oder?!

Sebastian_S · 16.12.2008, 18:09

Hallo,

Zitat:

Zitat von illuminatus

Zum Beispiel:

Da!

$_POST['name'] wird ohne überprüfung auf schadhaften SQL-Code in ein Query gesteckt und ausgeführt :O

Oder irre ich?!

Edit: Deswegen auch MöglichkeitEN!

Aber zurück zum Problem oder?!

Stimmt, daran habe ich noch gar ned gedacht...
Danke für den Tipp!

Gruß,
Sebastian

illuminatus · 16.12.2008, 18:29

Kannst du das Formular vielleicht auch noch posten?

Sebastian_S · 16.12.2008, 18:42

PHP-Code:

  <form action="./php/login.php" method="POST">
<input type="text" name="name">
<input type="password" name="password">
<input type="submit" name="submit" value="Anmelden">
</form>

Wobei das Formular ja in Ordnung ist. Es funktioniert ja unter http://sslomski.alfahosting.de/dangl . Nur über den DNS Namen http://dangl.sebastian-slomski.de/dangl klappts ned.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Firefox / IE - Probleme		HTML, Usability und Barrierefreiheit	5	20.07.2009 17:04
Probleme bei Speicherung von serialize() Strings	Manni2k	PHP Tipps 2006	13	15.10.2006 15:06
Probleme mit mbstring extension unter Debian	HStev	Server, Hosting und Workstations	3	30.08.2006 20:55
Probleme mit Rechteverteilung chmod() per script!!!???	Funky_	PHP Tipps 2006	7	17.06.2006 17:10
Probleme bei der Installation von Turck MMCache	tomx992	PHP-Fortgeschrittene	2	27.09.2005 20:31
Probleme beim Datenupload zu meiner Datenbank		Datenbanken	3	05.09.2005 19:47
Probleme mit Sonderzeichen...		Datenbanken	1	02.08.2005 23:37
Probleme mit dem Layout	Pimbolie1979	HTML, Usability und Barrierefreiheit	7	01.06.2005 16:48
Probleme mit Norton und SmartFTP	imported_Ben	Off-Topic Diskussionen	12	24.04.2005 19:56
[Erledigt] hilfe! probleme mit...		PHP Tipps 2005	4	12.04.2005 22:55
[Erledigt] CSV Größe macht Probleme mit php		PHP Tipps 2005	5	15.03.2005 21:29
Zwei Rechner ins Netz - Router - Hub - Probleme...	imported_Ben	Off-Topic Diskussionen	37	13.01.2005 21:36
[Erledigt] Technische Probleme mit Sessions		PHP-Fortgeschrittene	4	18.11.2004 14:45
[Erledigt] Probleme mit Fremdsprachen		HTML, Usability und Barrierefreiheit	2	21.09.2004 17:11
PHP Bilder in DB / Probleme bei Änderung		PHP-Fortgeschrittene	1	05.06.2004 11:20

16.12.2008, 13:42
Sebastian_S Neuer Benutzer Registriert seit: 16.12.2008 Beiträge: 4	Probleme bei Domainüberleitung Hallo, ich hab ein Problem mit einem Login Skript: Das Skript liegt auf dem Sever http://sslomski.alfahosting.org/dangl. Auf diese Adresse habe ich eine Subdomain gelegt: http://dangl.sebastian-slomski.de/dangl Wenn ich mich auf der ersten Adresse einloge (http://sslomski.alfahosting.org/dang...?content=login), funktioniert alles reibungslos. Wenn ich mich aber über die Subdomain einloge, dann funktioniert des ned. Da wird des Skript dann zweimal aufgerufen. Hier ist der Login Quelltext des Login Skripts: Code: PHP-Code: <?php include "./config.php"; if(!isset($_POST['submit'])) header("Location: ../?content=login&error=no_submit"); if($_POST['name'] == "" \|\| $_POST['password'] == "") header("Location: ../?content=login&error=no_values"); $sql = "select count(id) as anzahl from user "; $sql = $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';"; $res = mysql_query($sql); $row = mysql_fetch_array($res); if($row['anzahl'] >= 1){ $_SESSION['login'] = true; $sql = "select * from user "; $sql = $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';"; $res = mysql_query($sql); $row = mysql_fetch_array($res); $_SESSION['id'] = $row['id']; header("Location: ../../admin/"); }else header("Location: ../?content=login&error=not_found"); ?> In der Config Datei, die inkludiert wird, ist nur der DB Konnektor und der Session Starter Das Passwort für den User "admin" heißt "the27". Ich hoffe ihr könnt mir helfen, ich versteh die Welt mitlerweile nimmer _________________ Gruß, Seb Geändert von Sebastian_S (16.12.2008 um 13:46 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

16.12.2008, 17:31
illuminatus Benutzer Registriert seit: 06.11.2008 Beiträge: 57 PHP-Kenntnisse: Anfänger	Ich habe zwar keine Lösung für dein Problem, aber ich hoffe, dass du die Möglichkeiten für eine SQL-Injection noch behebst!

16.12.2008, 17:46
PTC Erfahrener Benutzer Registriert seit: 27.10.2007 Beiträge: 1.708 PHP-Kenntnisse: Anfänger	Ähh, Fortgeschrittener?? Du? Und du weißt nicht wie man SQL Injections verhindert?

16.12.2008, 17:46
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	ich seh gleich 2 Mod: verschoben

16.12.2008, 18:29
illuminatus Benutzer Registriert seit: 06.11.2008 Beiträge: 57 PHP-Kenntnisse: Anfänger	Kannst du das Formular vielleicht auch noch posten?

16.12.2008, 18:42
Sebastian_S Neuer Benutzer Registriert seit: 16.12.2008 Beiträge: 4	PHP-Code: `<form action="./php/login.php" method="POST"> <input type="text" name="name"> <input type="password" name="password"> <input type="submit" name="submit" value="Anmelden"> </form>` Wobei das Formular ja in Ordnung ist. Es funktioniert ja unter http://sslomski.alfahosting.de/dangl . Nur über den DNS Namen http://dangl.sebastian-slomski.de/dangl klappts ned.