Zunächst einmal speicherst du die Passwörter im Klartext. Wenn, wie in deinem Code, dann auch noch SQL-Injektionen möglich sind, kann jeder an die Passwörter ran.

Hallo,
ich hab jetzt den Code in der login.php folgendermassen abgeändert:

  
$name = mysql_real_escape_string($_POST['name']);  
$pwd = mysql_real_escape_string($_POST['pwd']);  

Erst danach werden sie in einer Abfrage an die Datenbank geschickt. Das müsste doch eigentlich die SQL-Injektion verhindern, oder muss das mysql_real_escape_string direkt in der SQL-Abfrage stehen? Mit "Passwörter im Klartext" meinst du wohl, dass die Passwörter verschlüsselt in die MySQL-Datenbank eingetragen werden sollten. Schau ich mir gleich mal als nächstes an.

Grüsse
Peter