$userExists = mysql_query("SELECT * FROM Users WHERE username = '".$username."'");
trim deine Post eingabe, ansonsten kann man den code mit einem leerzeichen killenQuote:
$username = mysql_escape_string($_POST['username']);
$password = mysql_escape_string(sha1($_POST['password']));
Quote:
$username = mysql_escape_string(trim($_POST['username']));
$password = mysql_escape_string(sha1(trim($_POST['password'])));
Wenn du mit der Sicherheit dieses Codes anfangen willst...Quote:
trim deine Post eingabe, ansonsten kann man den code mit einem leerzeichen killen
Schalte js aus und du sie werfen trotzdem unverschluesselt uebertragenQuote:
Er sollte einen HTML-Sonderzeichen Parser auf die empfangenen Variablen anwenden, ansonsten kann man dort sehr gut für Injections ansetzen.
(Zumindest) Das Passwort sollte schon vor dem Senden per JavaScript durch einen einfachen Algorhytmus (Blowfish o.Ä.) verschlüsselt werden, ansonsten kann man die Daten sehr leicht angeln. Das sollte man nebenbei vor allem bei LogIn-Skripts beachten...
Man sollte natürlich auch beachten das der Zeichensatz mit der Kollation der Tabelle übereinstimmt..
Aber ich denke das sind alles Dinge die man für den Anfang nicht braucht und sich früher oder später sowieso erarbeiten muss.
Sicher aber 97% der User im Internet haben ihr JS permanent aktiviert. Man kann nicht alles absichern, aber soweit wie man es kann sollte man es auch tuhen.Quote:
Auf die Datenbanktabelle mit den usernamen dann den Index setzen um die suche zu beschleunigen/ db entlasten.Quote:
Ich möchte verhindern, das sich zwei User mit gleichem Namen registrieren
<?php
include ('mysql.php');
if (isset ($_POST['submit'])) {
$username = mysql_escape_string(trim($_POST['username']));
$password = mysql_escape_string(sha1(trim($_POST['password'])));
if (!empty ($username) && !empty ($password)) {
$sql = "SELECT username FROM Users WHERE username='".$username."'";
$nums = mysql_num_rows(mysql_query($sql));
if(!$nums){
$sql = "INSERT INTO Users (user_id,username,user_password,user_regdate) VALUES ('0','".$username."','".$password."','".time()."')";
$res = mysql_query($sql);
if($res)
echo 'You are now registered!';
}
else
echo "username vorhanden";
}else {
echo 'You must enter a username and a password!';}
}else {
echo '<form action="register.php" method="post">
Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" name="submit" value="Register" />
</form>';
}
?>
Abfrage für den usernameQuote:
$sql = "SELECT username FROM Users WHERE username='".$username."'";
die anweisung im quellcode einfach von rechts nach links lesen oder auf mehrere variable aufteilen, aber da es nur eine abfrage für die problemlösung reicht macht das vorhalten der rückgabewerte von mysql_query keinen sinn.Quote:
$nums = mysql_num_rows( //liefert anzahl oder false
mysql_query( //liefert eine mysql resource oder false
$sql //Sql statment
));
in diesem fall wollen wir in $nums ein false haben -> username noch nicht vorhanden und mit negation wirds halt trueQuote:
if(!$nums){
versuchs einfach mal mit ssl, wozu gibts den mist denn wohl sonst.....Quote:
Sicher aber 97% der User im Internet haben ihr JS permanent aktiviert. Man kann nicht alles absichern, aber soweit wie man es kann sollte man es auch tuhen.