Hallo liebe Community,
ich habe gerade ein wenig Probleme mit Mazedonischen hackern und nach mehr als 5 Stunden Logfile analysieren komme ich nur auf mein Loginskript zurück, das anscheinend unsicher ist.
Was mach ich falsch?
OK, ich sollte dringend die übergebenen POST Variablen per mysql_real_escape_string() umwandeln, aber auch so konnte doch nicht wirklich was schief gehen ... oder?
Vielen Dank für Eure Hilfe,
hamlet
ich habe gerade ein wenig Probleme mit Mazedonischen hackern und nach mehr als 5 Stunden Logfile analysieren komme ich nur auf mein Loginskript zurück, das anscheinend unsicher ist.
Was mach ich falsch?
Code:
if(isset($_POST['login_button']) && isset($_POST['username'])) { $db=mysql_query("SELECT passwort,username,id FROM user WHERE username=".$_POST['username']." LIMIT 1")or die(mysql_error()); while($db_array=mysql_fetch_array($db)) { if(md5($_POST['passwort'])==$db_array['passwort']) $_SESSION['is_drin'] = "true"; } }
OK, ich sollte dringend die übergebenen POST Variablen per mysql_real_escape_string() umwandeln, aber auch so konnte doch nicht wirklich was schief gehen ... oder?
Vielen Dank für Eure Hilfe,
hamlet
Kommentar