Hallo Andavos,

ne das gibts kein Sicherheitsloch.

ja, weil du am anfang $log=0 schreibst - ich würde register_globals trotzdem auf off stellen...

_POST hab ich im Script groß geschrieben,

welche php-Version hast du denn? (unten verwendest du nämlich $HTTP_POST_VARS[...])

geht dennoch nicht.

das ist keine Fehlerbeschreiben. Was funktioniert nicht? Fehlermeldung? Verhalten soll/ist?

if ($userdata[0]==$username and md5($HTTP_POST_VARS["password"])==$userdata[1])

warum verwendest du nicht trim($userdata[1]) wie ich es dir geraten habe?

btw: das Einrücken solltest du noch etwas üben (wenn du wissen willst, wie - schau ins Archiv)

Grüße aus Nürnberg
Tobias