Login via Sessions und MySQL zugriff

[unique86]

Mahlzeit,

jenes Tut setzt fundierte Kenntnisse im Bereich SESSIONS und MySQL vorraus.

Bitte legt folgende Tabelle an :

tbl_benutzer mit den attributen : benutzer_id,benutzername,kennwort

inc.php

PHP-Code:

<?php
    @session_start();
    @mysql_connect("localhost","DBUSER","DBPASS");
    @mysql_select_db("DATENBANKNAME");

    function internal($benutzername,$kennwort) {
        $mysql = mysql_query("SELECT benutzer_id FROM tbl_benutzer WHERE benutzername = '".$benutzername."' AND kennwort = md5('".$kennwort."') ");
        if(mysql_num_rows($mysql) == 1) {
            $_SESSION['success'] = true;
        }else{
            return false;
        }
    }
    function angemeldet() {
        if($_SESSION['success'] == true) {
            return true;
        }else{
            echo "Sie sind nicht angemeldet";
        }
    }
?>

login.php

PHP-Code:

<?php
include("inc.php");
if($_POST['sender']) {
    if($_POST['benutzername'] != '') {
        $_SESSION['benutzername'] = $_POST['benutzername'];
        $kennwort = $_POST['kennwort'];    
        internal($_SESSION['benutzername'],$kennwort);
            if($_SESSION['success'] == true) { 
                header("Location: intern.php");
             }else {
                 echo "Benutzerdaten sind Fehlerhaft";
            }
    }
}

?>
<html>
<head></head>
<body>
<form method="post" target="_self">
<table align="center" border="0" cellpadding="0" cellspacing="0">
<tr>
 <td colspan="2">Anmelden</td>
</tr>
<tr>
 <td>Benutzername :</td>
 <td><input type="text" name="benutzername" size="30" maxlength="40"></td>
</tr>
<tr>
 <td>Kennwort :</td>
 <td><input type="password" name="kennwort" size="30" maxlength="40"></td>
</tr>
<tr>
 <td colspan="2"><input type="submit" name="sender" value="Anmelden"></td>
</tr>
</table>
</form>
</body>
</html>

intern.php

PHP-Code:

<?php
include("inc.php");
if(angemeldet() == true) {
?>
<html>
<head></head>
<body>
Du bist drin das ist ja einfach ^^ <a href="logout.php">Logout</a>
</body>
</html>
<?php } ?>

logout.php

PHP-Code:

<?php
include("inc.php");
unset($_SESSION['success']);
?>

sollte so gehen ^^ ist schon ne weile her

wenns nicht geht einfach meckern

[pit-r]

Moin!

wenns nicht geht einfach meckern

Wenn's nich geht, gehört das schlicht nicht hierher!

Ahoi - Pit

[jeko]

Ist die Frage ob Leute mit fundierten MYSQL und SESSION Kenntnissen, noch dazu jene die gleich wissen um was es in diesem "Tutorial" geht, da du nix dazu sagst, das wirklich noch benötigen? Aber ich finds toll dass mal eins geschrieben wird.

Ich stell mir halt einfach vor, dass es vielleicht sinnvoller wäre, eben diese Kenntnisse über MYSQL und SESSIONS hier erlernbar zu machen, als nur ein fertiges, 0815-Script hinzuschmeissen, was jeder der diese Kenntnisse, was hier ja vorrausgesetzt wird, schon hat, auch gekonnt hätte.

[ZeitGeist]

abgesehen davon ist das Script nicht gegen mysql-injection gesichert, oder täusch ich mich da?

[jeko]

Nein, das ist leider so. Aber ich denk, bei genauem Studium wäre das nicht das einzige Manko.

[eckocharlie]

lol......

Hier wird also Usern "gelernt" einen Unfug wie das "@" einzubauen? na wunderbar Leute ^^

[ZeitGeist]

was ist daran Unsinn? Lieber mit Fehlermeldungen infos über mögliche Schwachstellen des Skriptes weitergeben?