✔ Frage zum LoginScript

[proloser]

Hallo,

ich habe eine Frage zum LoginScript von den Tutorials!
Was bringt das "Nikname LIKE" ?

sql = "SELECT ".  
    "Id, Nickname, Nachname, Vorname ".  
  "FROM ".  
    "benutzerdaten ".  
  "WHERE ".  
    "(Nickname like '".$_REQUEST["name"]."') AND ".  
    "(Kennwort = '".md5 ($_REQUEST["pwd"])."')";

MfG proloser

 

[Gumbo]

LIKE ist ein Vergleichsoperator, bei dem bestimmte Metazeichen im Suchmuster eingesetzt werden können. Werden diese nicht benutzt, kann aber auch ein einfacher Vergleichsoperator genommen werden.

 

[RS9999]

Hier einen Link der Dir "LIKE" in einer SQL-Abfrage erklärt!

 

[proloser]

Das ist mir klar aber was bringt es in dem Script, weil man sollte sich doch nur einloggen können wenn der Nickname genau gleich ist wie vorgegeben oder nicht?

Ich bin mir sicher damit es nicht falsch ist aber ich versteh es einfach nicht

 

[Gumbo]

Wie ich bereits bemerkte, kann – werden keine Metazeichen im Suchmuster benutzt werden – auch ein einfacher Vergleichsoperator genommen werden.

 

[proloser]

Und noch eine Frage: Beim LoginScript wird ja nur abgefragt ob in der Session eine user_id gesetzt wurde!

Eine Session kann doch theoretisch manipuliert werden oder?
(Wieder mal etwas was ich gar nicht versteh *g*)

<?php  
session_start ();  
if (!isset ($_SESSION["user_id"]))  
{  
  header ("Location: formular.php");  
}  
?>

 

[Gumbo]

Sitzungsdaten können nur serverseitig verändert werden. Deshalb musst du dafür sorgen, dass alle vom Benutzer manipulierbaren Daten, die in der Sitzung gespeichert werden sollen, vorher validiert werden. Es ist also von außen nicht möglich, einfach die $_SESSION['foo']-Variable zu verändern/setzen, gibt es nicht irgendwo ein

$_SESSION['foo'] = $_GET['bar'];   // oder
$_SESSION['foo'] = $_POST['bar'];  // oder
…

beziehungsweise ein

$_SESSION[$_GET['foo']]  = …;  // oder
$_SESSION[$_POST['foo']] = …;  // oder
…

 

[proloser]

Und warm sollte man dann das Passwort nicht in einer Session speichern? ( Letzte dumme frage )

Ich kann mir vorstellen damit die Session gelesen aber nicht verändert werden kann

Und das bitte noch auf "deutsch" damit es ein normal Sterblicher auch versteht ^^

Deshalb musst du dafür sorgen, dass alle vom Benutzer manipulierbaren Daten, die in der Sitzung gespeichert werden sollen, vorher validiert werden.

 

[Gumbo]

Zwar sind Sitzungsdaten nicht direkt veränderbar, aber Sitzungen können unter anderem entführt werden (siehe Session Hijacking). Deshalb sollten sensible Daten nicht in Sitzungen gespeichert werden.

Der Begriff Validierung beschreibt übrigens den Vorgang der Kontrolle von Werten gegenüber der Menge der erwarteten/erlaubten Werte. Wenn also irgendwo nur Integerwerte erlaubt sind, sollte eine Zeichenkette eine Fehlermeldung verursachen beziehungsweise in einen Integerwert umgewandelt werden.

 

[proloser]

Also muss ich überprüfen ob $_SESSION[id] auch wirklich eine positive Zahl ist?