so ist der sql code jetzt:

$sql = "SELECT * FROM nl_anmeldungen WHERE md5wert = '$hash'";

jetzt möchte ich noch bei richtiger abfrage in die spalte bestaetigung ein true reinschreiben.

Wie mache ich das?

UPDATE nl_anmeldungen SET bestaetigung = 'TRUE' WHERE md5wert = '$hash' [edit] Sry, hatte nicht richtig hingesehen. Aber wieso ist das ein Varchar(50)-Feld? [/edit]

Nein nein nein! (Und nochmals nein!)

Du musst $hash maskieren:
Das ist wirklich wichtig! Ein User könnte sonst (vielleicht auch unbeabsichtigt) deiner Datenbank Schaden zufügen. Du glaubst gar nicht, wieviele Hacker sich die Finger nach einer Seite wie deiner lecken.

LG,
Xong

Siehe dazu auch hier: http://www.unixwiz.net/techtips/sql-injection.html

danke an xong das du mich so ausdrücklich auf die sicherheit hinweißt!!
Wirklich toll von Dir!!

Muss ich diesen Code den auch so schützen?

$sql1 = "UPDATE nl_anmeldungen SET bestaetigung = 'true' WHERE md5wert = '$hash'";

Unbedingt. Lass Dir das SQL mal ausgeben (nur ausgeben, nicht ausführen ), wenn man folgenden Hash übergibt:

Einspruch!

Ich wette, dass der Server, auf dem Delphi-Phil arbeitet, standardmäßig Magic Quotes aktiviert hat. Dein escapen führt damit zu noch mehr Problemen. Also entweder vorher noch stripslashes() anwenden, alle $_POST, $_GET usw. -Variablen komplett durch stripslashes laufen lassen, oder einfach das Escapen weglassen.

Edit:// @DeddyH: Dein Code funktioniert nicht, da du mit MySQL-Query nur ein Query ausführen kannst. Ein Semikolon führt zu einem SQL-Syntax-Fehler.

Mit freundlichen Grüßen,

Valle

Der erste Teil genügt aber für den Login ohne Account.

=)
Ist ja auch gar nicht böse gemeint. Aber bei sowas muss man immer mit Nachdruck schreiben, damit´s auch wirklich hängen bleibt. Ich habe schon so viele Seiten gesehen, auf denen Sachen wie "This site was hacked by..." standen.
Außerdem können solche Seiten den zugrundeliegenden Server zu Spamschleudern machen und dann kannst du sogar rechtliche Probleme bekommen.

Also...
Du musst alles schützen, was von außen kommt, also alles was nicht in deinem Skript definiert wird.

Beispiel:
Du hast im HTML sowas stehen:
Im PHP setzt du dann folgende SQL-Abfrage ab:
Was glaubst du, was passiert, wenn in Name '); DROP TABLE table;-- steht?

Du würdest folgenden Code an die Datenbank schicken: INSERT INTO table (name) VALUES(''); DROP TABLE table;--') Es wären noch viel schlimmere Dinge möglich. Jemand könnte versuchen Zugriff auf deine Datenbank zu bekommen, indem er die Passwörter ändert.
Vielleicht sogar so, dass du es gar nicht merkst, indem er einfach nur einen neuen Benutzer hinzufügt. Viels ist möglich. Und du musst das verhindern.

Richtig wäre in PHP folgendes:
Dann wird nämlich INSERT INTO table (name) VALUES('\'); DROP TABLE table;--)' abgeschickt und alles wäre in Ordnung.


Merke: All Input Is Evil!

LG,
Xong