hallo!

habe ein log in skript aber das spuckt folgende fehlermeldung aus:

Parse error: parse error, unexpected '\"', expecting T_STRING or T_VARIABLE or T_NUM_STRING in /www/htdocs/blabla/quiz/login.php on line 10

das ist das skript:


könnt ihr mir sagen wo mein fehler ist?!

In der Zeile mit der SQL-Query fehlt ein " am Ende. Außerdem ist bei der if/else ohne {} ein ; zuviel. Der Session-Wert wird nie auf 1 gesetzt - damit auch nie das Login ausgeführt.

Da die Eingaben aus dem Formular weder geprüft escapt werden, ist das Script für SQL-Injection anfällig.

Fehlende Quotes erkennt man sehr gut, wenn man einen Editor mit Syntaxhiglighting nutzt.

---
Weaverslave

ok danke erstmals für die schnelle antwort!

das " fehlt aber nach dem ; oder?

weiters bei der if/else ohne den klammer wo ist genau ist das ; zuviel nach der session oder nach dem else?

das wollt ich eh fragen was genau ist eine sql injection?

und wo sollte ich das - mysql_escape_string() - einbauen?

Als SQL-Injection bezeichnet man Möglichkeit Formularwerte zu senden, welche den SQL-Befehl in ungewollter Weise abändern. Bei dir könnte ich zB als mail zB admin' or quiz_user = ' schicken.

Logischerwise fehlt das " vor dem ;.

Zu if und mysql_escape_string lies bitte das Manual.

---
Weaverslave

ja aber woher weißt du meine spalten bezeichnung?

Muss ich nicht unbedingt - es war ein Beispiel. Genausogut könnte ich admin' or '1 schicken.

---
Weaverslave

und dann passiert was?

Nochmal deutlicher: Der Surfer kann das SQL manipulieren und sich dadurch zB ohne Passwort anmelden, Daten verändern auf die er keinen Zugriff haben sollte, ...

---
Weaverslave