Anmeldeformular erstellen

[one_o]

Würde gerne mein basis PHP wissen erweitern,und mal ne komplexe Seite erstellen

Würde gerne mit dem Anmeldeformular (Login) anfangen.

Wodrauf mus ich achten damit später kein Hacker die möglichkeit hat über dieses Formular an wichtige Daten zu kommen (sql injection,super user,usw)

Mein erster gedanke !

Sonderzeichern verbieten ( String des Users mit einen Array vergleichen wo alle zeichen drin stehen )

Mehr weiß ich jetzt leider nicht ,nur paar grobbe sachen wie verbindungs Daten auslagern und diese mit htaccess schützen ,oder fehlermeldungen unterdrücken,aber ihr seit die Profis und habt bestimmt ein Paar supper Ideen.

mfg.one

 

[asipak4you]

auf magic_quotes_gpc testen (wenn on dann) http://php.net/stripslashes
sql injection verhindern => http://php.net/mysql_real_escape_string
sonderzeichen umwandeln => http://php.net/htmlentities

sonderzeichen verbieten => string mit http://php.net/preg_match oder http://php.net/ereg prüfen

 

[one_o]

Oh so ne genaue Antword hab ich jetzt nicht erwartet DANKE wen noch jemand anderes ein Paar gute Tipps hat,würde ich mich sehr drübber freuen,wäre schade wen ich was wichtiges vergessen würde

 

[mauli_rulez]

Hey Leute,

ich habe mich gerade mit dem gleichen Thema beschäftigt und in den letzten Tagen unzählige Posts etc. dazu gelesen, aber ich bin mir immer noch nicht sicher ob ich alle Eventualitäten abgedeckt habe :/
Jedenfalls hab ich mir dazu diese 2 Funktionen angelegt und es wäre sehr cool, wenn ihr mir sagt, was ihr davon haltet. Darf ich mich damit "sicher" fühlen? Oder habe ich auch was vergessen?

Für alles, was in mysql_querys() verwendet werden soll:

function escape_for_mysql($wert) {
	if(get_magic_quotes_gpc()) {
		return mysql_real_escape_string(stripslashes($wert));
	} else {
		return mysql_real_escape_string($wert);
	}
}

ausser für Zahlen, da nehme ich intval()

Und für alles, was Benutzereingaben enthält und ausgegeben wird:

function unescape_for_output($wert) {
	if(get_magic_quotes_gpc()) {
		return htmlspecialchars(stripslashes($wert),ENT_QUOTES);
	} else {
		return htmlspecialchars($wert,ENT_QUOTES);
	}
}

(asipak schlägt htmlentities() vor, sollte ich das nehmen? Müsste aber ziemlich das Gleiche sein)

Vielleicht kannst du ja damit auch was anfangen!

Gruß, mauli