Suche gutes Registrierungs/Login Tutorial

[Alice]

Hallo.

Wie der Titel schon sagt, suche ich ein gutes Registrierungs/Login Tutorial.

Ich arbeite schon länger an einem Projekt und möchte nun endlich mit dem Backend anfangen. Also das man sich registrieren und anmelden kann.

Das Problem ist:
Es gibt viele Tutorials im Internet aber die meisten mit denen ich mich beschäftigt habe waren schon veraltet oder haben sich als unsicher rausgestellt.

Beispiel: http://www.html-world.de/program/php_art_1.php

Erstens funktioniert das Skript nicht einmal richtig und ist dazu auch noch unsicher (SQL-Injection).

Kennt jemand ein gutes Tutorial oder ein fertiges Skript was ich als Basis benutzen könnte?

 

[nordi]

Guck dir mal die Tutorials von QuakeNet an:
http://tut.php-quake.net/de/login.html

Vielleicht hilft dir das weiter.

 

[Alice]

Hallo.

@nordi: Vielen Dank für den Link. Das sieht wirklich sehr interessant aber leider auch schwierig aus.

 

[DarkRaver]

Ich bin auch ein Anfänger mit PHP und HTML aber schau mal hier:
http://www.php-einfach.de/tuts_mysql_login.php
das habe ich sogar in komplizierterer Fassung zum laufen bekommen.

 

[leon_20v]

Vorsicht bei diesem Login-Script, es wurden keinerlei Sicherheitsmaßnahmen getroffen! Man sollte immer Filter was in die Datenbank kommt.

 

[Joe]

Hast recht Leon, aber so schwierig nen real Escape String zu machen bei get oder Post Variablen isses auch nit

Will sagen wenns uns als Anfänger weiterhilft ists erst mal das wichtigste wenns dann ans eingemachte geht und man schon fortgeschritten ist in PHP und CO sollte man unbedingt Leons Rat beherzigen
Ich schätze nämlich mal grob übern Daumen gepeilt das die meisten Scripte im Netz diese Lücke haben obwohls eigentlich echt nicht schwer ist sie zu schliessen.

Danke Leon

PS: Finde Nordis Ratschlag am besten. Mit dem Tut von A nach Z durchgearbeitet bekommt man in PHP die meisten Dinge fast von allein gebacken. Habe durch dieses Tut damals am besten gelernt.

 

[DarkRaver]

ok, wenn ich das richtig verstanden habe muss einfach jede variable vorher in ein mysql_real_escape_string(); gehauen werden, also müsste das Ergebnis so aussehen:

$form_vorname = $_POST['vorname'];
mysql_real_escape_string($form_vorname);

und dann wird es halt durch eine Query weiterverarbeitet, oder?
Möchte da mit meinem Script wirklich auf Nummer sicher gehen, weil das Teil produktiv eingesetzt werden soll. Gibt es da sonst noch was zu beachten, damit das sicher ist?

Mfg

 

[ComFreek]

@DarkRaver:

Dein Code ist falsch, da du das Ergebnis der Funktion mysql_real_ecape_string() noch übernehmen musst:

$form_vorname = $_POST['vorname'];
$form_vorname = mysql_real_escape_string($form_vorname);