HalloBoris, Boris Wokurka wrote :

hab von perl nicht viel Ahnung, aber sollte es nicht "elseif" statt "elsif" heißen?

[Fullquote fachgrecht entsorgt - muttu nicht tun] Ja, das dacht ich am Anfang auch mal, weil es syntaktisch richtig ist. Programmiertechnisch ist es jedoch falsch. bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE and Securityfocus - Mailinglist mboxes http://www.mewes.tv/mbox/

Hallo Ferdinand, Ferdinand Ihringer wrote :

Wozu das 'ne $value02'? Eine Idee habe ich aber nicht. Was macht denn fetchchrow_array?

Hatte ich das nicht geschrieben? $ergebnis[0] und $value01 steht für Benutzername $ergebnis[1] und $value02 steht für Passwort $ergebnis[0] + $ergebnis[1] kommt aus der Datenbank $value01 + $value kommen über den Browser. Folgendes soll im Browser erscheinen ... $ergebnis[0] eq $value01 && $ergebnis[1] eq $value02 -> Einloggen Username und Passwort passt. $ergebnis[0] eq $value01 && $ergebnis[1] ne $value02 -> Falsches Passwort, nochmal probieren $ergebnis[0] ne $value01 && $ergebnis[1] ne $value02 -> Unbekannter Benutzername, nochmal probieren. Ich gebe zu, das für die letzte Bedingung eigentlich $ergebnis[0] ne $value01 ausreicht, aber wenn wir schonmal so nett zusammen sind ;-) bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE and Securityfocus - Mailinglist mboxes http://www.mewes.tv/mbox/

Hallo Christian, Christian Boltz wrote :

Zumindest sehe ich darin einen Teil des Bretts ;-)

In der Tat, danke :-) Ich habe dies einmal umbrochen. Nichts für Copy&Paste # Datenbankabfrage my $connect="DBI:mysql:$database"; my $dbh = DBI->connect("$connect","$sqluser","$sqlpass") || die "Database connection not made: $DBI::errstr"; my $sth = $dbh->prepare("SELECT username,pwd FROM $tab_user WHERE \\ username=? LIMIT 1"); $sth->execute($value01); my @ergebnis=$sth->fetchrow_array; # Datenbank schliessen $sth->finish(); $dbh->disconnect(); # Ergebnis auf den Bildschirm print "<tr><td>Datenbankuser: $ergebnis[0]</td> \\ <td>Datenbankpasswort: $ergebnis[1]</td></tr>\n"; if ( ($ergebnis[0] eq $value01) && ($ergebnis[1] eq $value02) ) { print "<tr>Login korrekt</td></tr>\n"; } elsif ( ($ergebnis[0] eq $value01) && ($ergebnis[1] ne $value02) ) { print "<tr>Falsches Passwort</td></tr>\n"; } else { print "<tr>Unbekannter Benutzername</td></tr>\n"; }; Liefert nun das richtige Ergebnis. Vielen Dank :-) bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE and Securityfocus - Mailinglist mboxes http://www.mewes.tv/mbox/

*** Martin Mewes wrote:

} else { print "<tr>Unbekannter Benutzername</td></tr>\n"; };

Du machst es einem recht einfach einen gültigen Login zu erraten. Absicht? Micha --

Hallo Martin, hallo Leute, Am Freitag, 12. November 2004 10:04 schrieb Martin Mewes:

Michael Meyer wrote :

...

*** Martin Mewes wrote:

...

} else { print "<tr>Unbekannter Benutzername</td></tr>\n"; };

Du machst es einem recht einfach einen gültigen Login zu erraten. Absicht?

Debugging ... damit ich sehe, ob das was der Benutzer eingibt mit dem aus der Datanbank passt, oder ob das Skript irgendwo noch schwächelt. Fliegt wohl raus.

Dann kannst Du das Script nochmal vereinfachen: SELECT * FROM secrets WHERE username=? AND password=? LIMIT 1 Die ? wie gewohnt beim ->execute übergeben. Die Prüfung ist dann recht einfach: - kein Ergebnis -> ungültiger Login - Ergebnis -> gültiger Login. Wobei Du eigentlich nichtmal nachsehen musst, was genau im Ergebnis steht ;-) Gruß Christian Boltz -- Ich frage mich manchmal, ob elektronische Kommunikation so viel besser ist als Brieftauben. Die kommen wenigstens an. :-) [Ratti in fontlinge-devel]