UCP- finde den Fehler nicht

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • UCP- finde den Fehler nicht

      Heiho Kompanen!

      Ehm bin grade am Bauen eines USer Panels und steh da grade etwas auffer Matte! ;)

      PHP-Quellcode

      1. <?php
      3. include("config.php");
      4. session_start();
      5. error_reporting(0);
      7. $submit = $_POST['submit'];
      9. $username = sanitize($_POST['username']);
      10. $password = sanitize($_POST['password']);
      12. if($submit)
      13. {
      14. if($username && $password)
      15. {
      16. $query = mysql_query("SELECT username, password FROM user WHERE username = '$username'");
      17. if(mysql_num_rows($query) == 1)
      18. {
      19. while($row = mysql_fetch_assoc($query))
      20. {
      21. $dbusername = $row['username'];
      22. $dbpassword = $row['password'];
      23. }
      24. if($username == $dbusername && $password == $dbpassword)
      25. {
      26. $_session['username'] = $dbusername;
      27. echo header('location: index.php');
      28. }
      29. else echo "Falsches Passwort!";
      30. }
      31. else echo "Der Benutzer existiert nicht!";
      32. }
      33. else echo "Tippe dein Namen und Passwort ein!";
      34. }
      35. ?>
      37. <form action='index.php' method='POST'>
      38. <input type="text" name="Benutzer" value='<?php echo $username?>'/>
      39. <input type="passwort" name="password"/>
      40. <input type='submit' name="submit" value='login'/>
      41. </form>
      Alles anzeigen


      Immer wenn ich dann den Namen+PW eingebe kommt: Tippe dein Namen und Passwort ein!

      Bin bisl ratlos wo der Fehler liegt.

      localhost samp user

    • Werbung zur Unterstützung des Forums ( Bitte AddBlocker deaktivieren )

    • Kenn mich da jetzt nicht so aus, da ich selber nicht wirklich viel PHP kann, aber:

      if($username && $password)

      Fehlt da nicht was? z.b. == true? Oder wird das direkt von Apache erkannt (wegen dem &&)?
      Falls nicht, könnte das der Grund sein, warum er auf
      }
      else echo       "Tippe dein Namen und Passwort ein!";

      springt.

    • Kaev;291775 schrieb:

      Kenn mich da jetzt nicht so aus, da ich selber nicht wirklich viel PHP kann, aber:

      Fehlt da nicht was? z.b. == true? Oder wird das direkt von Apache erkannt (wegen dem &&)?
      Falls nicht, könnte das der Grund sein, warum er auf

      springt.


      denninho;291776 schrieb:

      Ne ;)
      Fehler ist gelöst, unten in der HTML Dekalrarion habe ich Benutzer zu username und Passwort zu password geändert.
      Gruß


      Trotzallem fragt man so keine Variablen ab wenn es keine true/false Variablen sind.
      Entweder sollte man :

      PHP-Quellcode

      1. if(isset($username) && !empty($username) && isset($password) && !empty($password)) {


      besser wäre sogar noch :

      PHP-Quellcode

      1. if(isset($username) && !empty(str_replace(" ","",$username)) && isset($password) && !empty(str_replace(" ","",$password))) {


      So kommt es auch bei mehreren leerzeichen auf keinenfall durch.

    • PHP-Quellcode

      1. <?php
      3. include("config.php");
      4. session_start();
      5. error_reporting(0);
      7. $username = sanitize($_POST['username']);
      8. $password = sanitize($_POST['password']);
      10. if(isset($_POST['action']) && $_POST['action'] == "login") {
      11. if(isset($username) && !empty(str_replace(" ","",$username)) && isset($password) && !empty(str_replace(" ","",$password))) {
      12. $query = sprintf("SELECT `username`,`password` FROM `user` WHERE `username` = '?'", mysql_real_escape_string($username));
      13. $result = mysql_query($query);
      14. if(mysql_num_rows($query) == 1) {
      15. $row = mysql_fetch_row($result);
      16. if($password == $row[1]) { //Bitte Passwörter nicht Clean Speichern , immer Verschlüsselt in einer DB speichern
      17. $_SESSION['username'] = $row[0];
      18. echo header('location: index.php');
      19. } else }
      20. echo "Falsches Passwort!";
      21. }
      22. } else {
      23. echo "Der Benutzer existiert nicht!";
      24. }
      25. } else {
      26. echo "Tippe dein Namen und Passwort ein!";
      27. }
      28. }
      30. echo "<form action=\"index.php\" method=\"POST\">
      31. <input type=\"text\" name=\"username\" value=\"".$username."\" />
      32. <input type=\"password\" name=\"password\" />
      33. <input type=\"submit\" name=\"action\" value=\"login\"/>
      34. </form>";
      35. //Feldname "submit" sollte man vermeiden , vorallem wenn man mit JavaScript das Script erweitern möchte. z.B. zur vorherigen Prüfung oder ähnliches.
      37. ?>
      Alles anzeigen

    • Es gibt mehr als nur dich hier im Forum die vllt mal die ein oder andere Hilfe bei ähnlichem problem haben , so haben diese direkt mehrere lösungen zur auswahl. Also bleib mal locker auf dem Hocker , dann nimm dein Abo raus und fertig.

      EDIT : Vorallem sind wir nur dabei deine Sicherheitslücken , die du nun einmal drin hast in diesem bisschl Code , etwas zu schliessen.