Ankündigung

Einklappen
Keine Ankündigung bisher.

Probleme bei Domainüberleitung

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Probleme bei Domainüberleitung

    Hallo,
    ich hab ein Problem mit einem Login Skript:
    Das Skript liegt auf dem Sever http://sslomski.alfahosting.org/dangl. Auf diese Adresse habe ich eine Subdomain gelegt: http://dangl.sebastian-slomski.de/dangl

    Wenn ich mich auf der ersten Adresse einloge (http://sslomski.alfahosting.org/dang...?content=login), funktioniert alles reibungslos. Wenn ich mich aber über die Subdomain einloge, dann funktioniert des ned. Da wird des Skript dann zweimal aufgerufen. Hier ist der Login Quelltext des Login Skripts:
    Code:

    PHP-Code:
    <?php  include "./config.php";
       if(!isset(
    $_POST['submit'])) 
          
    header("Location: ../?content=login&amp;error=no_submit");  
       if(
    $_POST['name'] == "" || $_POST['password'] == ""
          
    header("Location: ../?content=login&amp;error=no_values");

       
    $sql "select count(id) as anzahl from user ";
       
    $sql $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';";    
       
    $res mysql_query($sql);
       
    $row mysql_fetch_array($res); 

       if(
    $row['anzahl'] >= 1){        
          
    $_SESSION['login'] = true;

          
    $sql "select * from user ";        
          
    $sql $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';";
          
    $res mysql_query($sql);
          
    $row mysql_fetch_array($res);      
      
          
    $_SESSION['id'] = $row['id'];
          
    header("Location: ../../admin/");    
       }else 
    header("Location: ../?content=login&amp;error=not_found");
    ?>

    In der Config Datei, die inkludiert wird, ist nur der DB Konnektor und der Session Starter

    Das Passwort für den User "admin" heißt "the27".

    Ich hoffe ihr könnt mir helfen, ich versteh die Welt mitlerweile nimmer

    _________________
    Gruß,
    Seb

  • #2
    Ich habe zwar keine Lösung für dein Problem, aber ich hoffe, dass du die Möglichkeiten für eine SQL-Injection noch behebst!

    Kommentar


    • #3
      Hallo
      Zitat von illuminatus Beitrag anzeigen
      Ich habe zwar keine Lösung für dein Problem, aber ich hoffe, dass du die Möglichkeiten für eine SQL-Injection noch behebst!
      ???
      Wo ist da ne Möglichkeit?

      Gruß,
      Sebastian

      Kommentar


      • #4
        Ähh, Fortgeschrittener?? Du? Und du weißt nicht wie man SQL Injections verhindert?

        Kommentar


        • #5
          ich seh gleich 2

          Mod: verschoben

          Kommentar


          • #6
            Zum Beispiel:
            Zitat von Sebastian_S Beitrag anzeigen
            PHP-Code:
            <?php

               $sql 
            $sql."where name = '".$_POST['name']."' and password = '".md5($_POST['password'])."';";

            ?>
            Da!
            $_POST['name'] wird ohne überprüfung auf schadhaften SQL-Code in ein Query gesteckt und ausgeführt :O

            Oder irre ich?!

            Edit: Deswegen auch MöglichkeitEN!

            Aber zurück zum Problem oder?!

            Kommentar


            • #7
              Hallo,
              Zitat von illuminatus Beitrag anzeigen
              Zum Beispiel:


              Da!
              $_POST['name'] wird ohne überprüfung auf schadhaften SQL-Code in ein Query gesteckt und ausgeführt :O

              Oder irre ich?!

              Edit: Deswegen auch MöglichkeitEN!

              Aber zurück zum Problem oder?!
              Stimmt, daran habe ich noch gar ned gedacht...
              Danke für den Tipp!

              Gruß,
              Sebastian

              Kommentar


              • #8
                Kannst du das Formular vielleicht auch noch posten?

                Kommentar


                • #9
                  PHP-Code:
                  <form action="./php/login.php" method="POST">
                  <
                  input type="text" name="name">
                  <
                  input type="password" name="password">
                  <
                  input type="submit" name="submit" value="Anmelden">
                  </
                  form
                  Wobei das Formular ja in Ordnung ist. Es funktioniert ja unter http://sslomski.alfahosting.de/dangl . Nur über den DNS Namen http://dangl.sebastian-slomski.de/dangl klappts ned.

                  Kommentar

                  Lädt...
                  X