Sicherheitslücke

B

Bigbutcher

Erfahrenes Mitglied
Hiho.

ich hab ein kleines LoginScript, dass dank eurer Hilfe bestens funktioniert! DANKE

Leider hab ich ne kleine Sicherheitslücke entdeckt.
Wenn ich nur den USernamen oder das PW eingebe, dann loggt der sich auch ein. Auch wenn man die Daten gering modifiziert gehts auch noch... Das ist schlecht. Nicht umsonst hat man ja ein Passwort :p
Ich frage die daten gleich mit SQL ab.

$sql = "SELECT * FROM intern WHERE Benutzer='$username' && Passwort='$password'";
$result = mysql_query ($sql);

Gibt es eine möglichkeit die Daten so abzufragen dass sie nur ausgegeben wenn die auch wirklich exakt übereinstimmen?

Wahrscheinlich die Lösung zu einfach und cih komm nicht rauf :)

Thx 4 Help
 
$sql = "SELECT * FROM intern WHERE Benutzer='$username' && Passwort='$password'";
$result = mysql_query ($sql);

da lässt sich nichts gering modifizieren.
oder was meinst du
 
Original geschrieben von Chris
$sql = "SELECT * FROM intern WHERE Benutzer='$username' && Passwort='$password'";
$result = mysql_query ($sql);

da lässt sich nichts gering modifizieren.
oder was meinst du
Zum Vergrößern anklicken....

Das modifizieren war auf die tatsächliche Eingabe bezogen, die man im LoginFenster tätigt.
Sry dass cih mich undeutlich ausgedrückt hab.
 
Wenn du's case-sensitive willst, versuch's mal so:
Code: 
SELECT * FROM intern WHERE Benutzer = BINARY '$username' && Passwort = BINARY '$password'
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück