PHP: Inlogsysteem vraag

Na het uitvoeren van de query moet je controleren of er een resultaat is gevonden voor de betreffende gebruikersnaam/wachtwoord combinatie. Indien dat niet het geval is geef je een melding dat de inloggegevens niet correct zijn.

Sowieso is je code naar mijn mening niet goed. Tegen injectie controleren moet je bijvoorbeeld voor/in de query doen en niet erna. Het wachtwoord in een cookie stoppen, ik zou het niet doen. En ga zo nog maar even door...

Bedankt Rogier!
Ik zal er aan werken.
En over het wachtwoord stoppen in een cookie hoe moet dat dan anders?
Je kan ook met sessions werken heb ik gezien.

EDIT:
Maar hoe zorg ik ervoor dat die dat controleert?
Kan je een klein stukje code meegeven?

$res = mysql_query("SELECT * from leden WHERE
naam = '". $_POST['naam'] ."' AND
pass = '". md5($_POST['pass']) ."'");

en dan
$number = MYSQL_NUMROWS($res);
if $number = 1 {
inlog deel uitvoeren
} else {
niet ingelogd en fouten afhandelen en terug
}

@paul

Heel erg bedankt voor je code! :)
Maar wat moet er staan in: inlogdeel uitvoeren?
Ik weet wel wat bij de else moet maar niet bij het inlog deel

Dan moet je dus de cookie/session zetten waaruit je kunt opmaken dat iemand is ingelogd.

Dus je bedoeld dat die dan een cookie/session moet aanmaken?

EDIT:

Dus zo?

$number = mysql_num_rows($res); if $number = 1 { setcookie("login", "1", time()+3600*24); //1 dag setcookie("naam", $_POST['naam'], time()+3600*24); setcookie("pass", md5($_POST['pass']), time()+3600*24); }else{ echo 'Gebruikersnaam/Wachtwoord klopt niet. <a href="http://www.mybuddies.byethost2.com/login.php">Probeer het opnieuw</a>'; }

Ik zou persoonlijk het wachtwoord niet opslaan in een cookie, ook niet na md5-ecryptie. Dat heeft namelijk grote consequenties voor de veiligheid van je systeem. Maar verder zit je goed met je code. Je moet even haakjes om je if-statement zetten. Houd er daarnaast rekening mee dat een enkele is ('=') een toekennings operator is, en een dubbele een vergelijkings operator, dus je bedoelt waarschijnlijk:

if ($number == 1) {

Wat ik zelf als best practice aanhoud is om cookies HTTP only te maken. Dat doe je door de $httponly flag op true te zetten in de setcookie methode. Maar ik ben bang dat het daardoor iets te ingewikkeld wordt.

EDIT 3:

Laat maar!
Het probleem is opgelost.
Ik heb even opnieuw een scriptje gemaakt maar dan met sessie's.
Nu werkt die :D
Nogmaals heel erg bedankt voor jullie hulp!!:D

Ik zou gebruik maken van een cookie. Met sessies is het zo dat als je de browser sluit dat je uitgelogd bent.

Je kan een cookie setten waarin je een hash code in opslaat en dezelfde hash ook in de db zet met het ip nummer en eventueel user-agent. Mocht de gebruiker opnieuw op de site komen, kijk je of er een cookie bestaat, zo ja, check of de hash code bestaat in de db zo ja, check of het ip gelijk is en of de user-agent gelijk is. Zo ja, is de gebruiker ingelogd .