Eine Typumwandlung bei den POST Parametern wäre nicht schlecht, z.B. einfach mit (string)
ZitatWarning: mysql_real_escape_string() expects parameter 1 to be string, array given in /*****/rc1/inc/functions.global.php on line 22
Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in /*****/rc1/inc/functions.global.php on line 23
Diese Fehlermeldung erscheint z.B, wenn man auf der Loginseite den Namen des Eingabefeldes zu einem Array umwandelt:
<input type="text" size="20" name="user[me]">
<input type="password" size="20" name="pass[me]">
Lösung, Typecasting:
[PHP]// [...]
// ...
$username = (isset($_POST['user'])) ? (string) $_POST['user'] : '';
$password = (isset($_POST['pass'])) ? (string) $_POST['pass'] : '';
// Password Hashing
// ...[/PHP]
Die PHP-Dateien in /inc/ unerreichbar zu machen würde vllt. auch nicht schaden. z.B. durch eine einfache .htaccess + FilesMatch + Deny Regel. PHP-Fehlermeldungen nicht direkt auszugeben und nur zu loggen wäre auf einer produktiven Website auch nicht verkehrt. Das wäre einmal das gröbste, was mir aufgefallen ist
MfG Christian