Eine Config Datei zu verwenden hat noch einen anderen Vorteil.

Eine Config Datei kann man ausserhalb des DocumentRoot Verzeichnis auslagern.

Das bedeutet das eine aussenstehende person diese Config Datei nicht abrufen kann, und so keine sensiblen Daten preisgegeben werden.

Das Abrufen kann passieren durch eine Fehlerkonfiguration des Webservers (z.B) bei wartungsarbeiten. Oder wenn man die perl Skripte ähnlich wie bei php Dateien über die Dateiendung identifiziert. Dann reicht es schon die Datei mit einem Editor zu öffnen der eine Temp Datei erzeugt. (z.B: scrip.pl~) Diese Datei kann dann jeder abrufen, und würde ebenfalls Passwörter sehen.

Das letztere ist auch ein Grund warum man die Skripte in /cgi-bin/ ablegen sollte.

Ansonsten entstehen Sicherheitslücken immer in Kombination von mehreren Schwachstellen.

sid burn, ein grund dafür nen thread von anfang an zu lesen, ist der, dass man ihn versteht...

*g*

sorry konnts mir nich verkneifen ;)

hier gehts um ne loginshell, nix webserver/documentroot/cgi :)

[quote=FlorianL,20.July.2007, 13:35]fehler is nun weg, danke ;)

aber er speichert nicht in die db, ist diese zeile korrekt?



Ansonsten geht das schon, beim connect mit meiner valid u/p combo wird das game gestartet, bin also nurnoch nen klitzekleines stück vom ziel entfernt ;)[/quote]
Jaein. ;)

Diese Zeile erstellt dir nur einen String. Und auch da solltest du lieber die '?' Notation nutzen. Wenn du den befehl mehrfach ausführst, am besten wieder prepare,execute Kombi.

Ansonsten wird erst etwas gespeichert wenn du z.B: aufrufst.

danke sid! :)

DBD::mysql::db do failed: Unknown column '$login' in 'field list' at ./slashem.pl line 78, <STDIN> line 5.

gibts nen trick?

VALUES($login, $password) geht so wohl nich?!

dieses q~ ~ zeuch muss ich mir mal genau anschaun, ich hab immernoch nicht gerafft was das eigendlich so macht ;)

edit:

Quote

Diese Zeile erstellt dir nur einen String. Und auch da solltest du lieber die '?' Notation nutzen. Wenn du den befehl mehrfach ausführst, am besten wieder prepare,execute Kombi.

nuja, es wird nur einmal aufgerufen, von daher passt das schon oder gibts ne möglichkeit das diese funktion so zu fehlern führen könnte?\n\n

<!--EDIT|FlorianL|1184932082-->

[quote=FlorianL,20.July.2007, 13:46]danke sid! :)

DBD::mysql::db do failed: Unknown column '$login' in 'field list' at ./slashem.pl line 78, <STDIN> line 5.

gibts nen trick?

VALUES($login, $password) geht so wohl nich?!

dieses q~ ~ zeuch muss ich mir mal genau anschaun, ich hab immernoch nicht gerafft was das eigendlich so macht ;)

edit:

Quote

Diese Zeile erstellt dir nur einen String. Und auch da solltest du lieber die '?' Notation nutzen. Wenn du den befehl mehrfach ausführst, am besten wieder prepare,execute Kombi.

nuja, es wird nur einmal aufgerufen, von daher passt das schon oder gibts ne möglichkeit das diese funktion so zu fehlern führen könnte?[/quote]
ein
ist identisch zu


Sprich es werden keine Variablen interpoliert.
Du möchtest aber welche Interpolieren.




Ansonsten nutz die DBI '?' Funktionalität. Oder du erlebst böses wenn jemand als username

Quote

'; drop table users;

eintippt, oder andere nette dinge.


P.S.:
ähem *hust*
Die anmerkung mit der Config war nur so allgemein gesagt. ;)\n\n

<!--EDIT|sid burn|1184932848-->

okay ich bin überzeugt *g*

danke euch allen und ein schönes wochenende noch!

Trotzdem hat sid burn recht mit der config sache, auch wenn das scirpt nicht im docroot ist. Es kann als kleine Barierre dienen, man sollte dies aufstellen.

Der MySQL-Syntax von dem Query scheint ja in Ordnung. Aber wie gesagt (u.a. von renee), brauchst du den Platzhalter ?, gleichzeitig uebergubst du die Parameter fuer die SQL-Abfrage ueber das execute.

Gruß & Danke

rPerl

[quote=FlorianL,20.07.2007, 13:46]dieses q~ ~ zeuch muss ich mir mal genau anschaun, ich hab immernoch nicht gerafft was das eigendlich so macht ;)[/quote]
perldoc perlop unter dem Stichwort "Quote and Quote-like Operators"