phpBB.de

Verfasst: **05.03.2010 14:42**

Hallo,

ich möchte ein Kennwort vergleichen, indem ich es einfach mit einer if-abfrage abgleiche.
Das Kenwort steht im Quelltext fest eingespeichert in einer Variable, die beispielsweise $pass heißt.
Gibt es nun bei

Code: Alles auswählen

if($pass == $eingebenes_kennwort) { ... }

Probleme bezüglich der Sicherheit? Also muss ich das Kennwort erst escapen, oder ist eine If-Abfrage soweit "sicher"? Da es ja keinen Datenabruf aus der Datenbank gibt, muss ich ja theoretisch nciht auf SQL-Injection prüfen, aber ich weiß nicht so recht, ob was ähnliches auch bei der if-abfrage möglich ist. Wenn ich für $pass beispielsweise "1 == 1 OR " nehme, wäre es ja in der Theorie möglich, oder?

Edit: Scheint wohl nicht zu gehen. Damit hätte sich das Thema dann erledigt

Verfasst: **05.03.2010 23:05**

Hallo
Du könntest etwas in der Art verwenden

Code: Alles auswählen

if (!isset($_GET['gehe1m']))

{
header("Location: http://127.0.0.1/");
die();
}
else
{
    hier der Code der auszufuehren ist, wenn das Passwort richtig war;
}

Das Passwort muss dabei per GET übergeben (also an die URL angehangen) werden.
Also so http://meinforum.de/meineseite.php?gehe1m=1

Grüße: Mahony

Verfasst: **06.03.2010 09:02**

Nein, das ist nicht mein Problem, wie das geht weiß ich

Ich übergeb es aber lieber per POST...

Meine Frage bezog sich darauf, ob sowas wie SQL-Injection auch für If-Abfragen möglich ist.

Also falls eine variable eben den wert '1 == 1 OR $pass1' hat und somit die if-abfrage so aussehen würde:
if(1 == 1 OR $pass1 == $pass2)

Aber scheint nicht zu gehen, wenn ich das richtig getestet habe...

phpBB.de

Frage bezüglich if-Abfrage

Frage bezüglich if-Abfrage

Re: Frage bezüglich if-Abfrage

Re: Frage bezüglich if-Abfrage