Hallo

ich habe eine Frage:
in meinem Login-Script lautet eine Zeile folgendermaßen:

echo "<a href=\"admi.php?user=$benutzer\">Geschützter Bereich</a>";

Jetzt hätte ich gerne, dass sich admi.php in einem neuen Fenster
öffnet. Das Loginfenster soll sich dabei schließen.

Zu diesem Zweck habe ich eine Javascript-Funktion geschrieben:

function weiter(){
window.open("admi.php","indexfenster");
window.close(); //hier wird das Loginfenster geschlossen
}

Ich weiß jetzt aber gar nicht, wie ich die Parameterübergabe (also das "?user=$benutzer") realisieren soll.
Wie kann ich jetzt den Funktionsaufruf in den Link oben einbauen oder die Parameterübergabe in meine JavaScript Funktion?

Für eine Idee oder einen Hinweis wäre ich sehr dankbar.
Silvia

javascript für Login/geschützte ist absolut nicht empfehlenswert.

wenn du etwas einigermassen sichern willst so mach dies ausschliesslich mit php (und mysql). eine relativ gute lösung findest du hier. (sessions)

http://www.tutorials.de/tutorials9684.html

gruss
jurg

Bitte verwendet dieses Script NICHT!

> http://www.tutorials.de/tutorials9684.html

Hier ist eine SQL - Injection möglich. Das heißt, wenn ich einen Benutzernamen kenne, z.B. Fred, kann ich mit der Eingabe von
Fred' -- den Zugang als Fred ohne die Eingabe eines Passwortes erlangen.
Sollte Fred der Admin sein, ist dann alles ganz einfach.

Dieses Script ist NUR zu Demonstration des Ablaufs geeignet!

Bei Nichtbeachtung kann man später solche http://www.tagesschau.de/...PM11180_REF4,00.html
Meldungen über euch lesen.



Grüße Oesi
Ich weiß, dass ich nichts weiß... (Sokrates)

Besten Dank für die Warnung. . . bin zwar gar nicht glücklich, denn habe dieses Tut vor wenigen Tagen installiert und muss nun wohl nochmals über die Bücher. . .

Wollte nur noch nachfragen :

wenn magic_quotes_sybase = ON (in der PHP Core) sind dan Sql-Injections noch möglich ?

Kennst Du ein Login Tut, das relativ sicher ist (sessions geben ja angeblich eh keine 100%ige sicherheit) ?

besten Dank für tipps und tricks
jurg

Das Problem ist, dass ALLE Benutzereingaben auf Zulässigkeit geprüft werden müssen. Als Zweites ist es notwendig, alle für SQL relevanten Sonderzeichen umzuwandeln.
z.B. so:
$variable=mysql_real_escape_string($variable, $db_connection);

ALLE Variablen, die in einer Anfrage(auch UPDATE, CREATE usw.) Verwendung finden, müssen auf diese Art behandelt werden.

Grüße Oesi
Ich weiß, dass ich nichts weiß... (Sokrates)

Ja, "it's OK to be paranoid" gilt auch beim scripting :-)