Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
в
том случае достаточно экранировать одинарную кавычку и србствено \. этого будет достаточно для предотвращения инъекции. в этом случае будут допустимы все видимые символы. если исключить \ из допустимых - то сначала удалить все \ а потом экранировать кавычку. хотя есть и более "правильные" методы...
Покинул форум
Сообщений всего: 29
Дата рег-ции: Янв. 2010
Помог: 0 раз(а)
Еще я бы дал вам совет не хранить пароли в открытом виде, а шифровать их и тогда записывать в БД. а при вводе логина и пароля шифровать их и сравнивать с имеющимися в базе
//проверяем есть ли пользователь с таким login'ом и password'ом
$res=mysql_query("SELECT * FROM таблица_в_БД WHERE user='$loginmd5' AND password='$passmd5'",$db);
написал так по шагам,чтоб понятно было
EuGen
Отправлено: 14 Января, 2010 - 17:30:04
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Pelsh пишет:
$passmd5=md5("$pass0");
$loginmd5=md5("$login0");
Pelsh пишет:
$res=mysql_query("SELECT * FROM таблица_в_БД WHERE user='$loginmd5' AND password='$passmd5'", $db);
Объясните, пожалуйста, зачем заключать в кавычки и без того строковые переменные, а так же что делает подобный запрос в теме с вопросом о безопасности.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Pelsh
Отправлено: 14 Января, 2010 - 23:11:21
Новичок
Покинул форум
Сообщений всего: 29
Дата рег-ции: Янв. 2010
Помог: 0 раз(а)
EuGen пишет:
а так же что делает подобный запрос в теме с вопросом о безопасности.
вы сами и ответили на свой вопрос) плохо хранить пароли без шифровки
Hunter
Отправлено: 16 Января, 2010 - 09:36:29
Частый гость
Покинул форум
Сообщений всего: 214
Дата рег-ции: Дек. 2009 Откуда: Блага
Помог: 0 раз(а)
да вовсе необязательно при авторизации пользователя помещать введенные юзером данные в запрос к базе.. их можно сравнивать с уже полученной из базы информацией..
vitaliy_mad
Отправлено: 16 Января, 2010 - 14:02:17
Участник
Покинул форум
Сообщений всего: 1107
Дата рег-ции: Окт. 2008 Откуда: Украина, Мариуполь
Помог: 0 раз(а)
Hunter, такой метод увеличит нагрузку на сервер. запросы SQL выполняются быстрее...
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.