Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]czy kod jest bezpieczny do sprawdzenia
Forum PHP.pl > Forum > Przedszkole
kielich
28.12.2008, 21:25:01
Witam napisze krótko i zwięźle bardzo prosze o sprawdzenie tego zapytania czy jest one bezpieczne bede bardzo wdzieczny prosze o szybką i zwięzła odp

[PHP] pobierz, plaintext 
  1. <?php
  2.        session_start();
  3.        include "conn.inc.php";
  4.        
  5.        if (isset($_POST['submit'])) {
  6.          $query = "SELECT username, password, admin_level FROM admin " .
  7.                   "WHERE username = '" . $_POST['username'] . "' " .
  8.                   "AND password = (md5('". $_POST['password']."'))";
  9.          $result = mysql_query($query) 
  10.            or die(mysql_error());
  11.        
  12.          $row = mysql_fetch_array($result);
  13.        
  14.  ....
  15.        ?>
[PHP] pobierz, plaintext
l0ud
28.12.2008, 21:28:33
Nie jest bezpieczne.

...chciałeś krótko i zwięźle, czyż nie? smile.gif
kielich
28.12.2008, 21:30:43
zawsze jak napisze ty odpwiadaszna moje posty widze ze zawsze pomagasz i znasz sie an rzeczy ale do sedna mozesz powiedziec co jest nie tak i jak powinno byc zeby wiedział na przyszłość
piotrooo89
28.12.2008, 21:31:07
nie jest bezpiecznie. tylko hashowanie hasła Ci nie wystarczy. nie wiem jak masz zabezpieczony plik: conn.inc.php. przydała by się jakaś regułką w .htacces. to tyle jeśli chodzi o krótko.
kielich
28.12.2008, 21:33:35
ale to tylko plik łączenia z baza moze jesta jakas funkcja zabezpieczaaca funkcje include questionmark.gif
piotrooo89
28.12.2008, 21:34:57
Cytat(kielich @ 28.12.2008, 21:33:35 ) *
ale to tylko plik łączenia z baza moze jesta jakas funkcja zabezpieczaaca funkcje include questionmark.gif


tylko? przecież tam trzymasz wszystkie dane bazy: hasło, usera, nazwe bazy...
kielich
28.12.2008, 21:35:54
nom tak tylko powiedziąłem czyli co jest niebezpieczny i nic nie mozna z tym zrobic??
l0ud
28.12.2008, 21:37:37
Użyj mysql_real_escape_string() dla zmiennej. Polecam używanie md5() po stronie serwera php, a nie mysql. (jeszcze lepiej by było sha1()...)
[PHP] pobierz, plaintext 
  1. <?php
  2. $query = "SELECT username, password, admin_level FROM admin " .
  3.                  "WHERE username = '" . mysql_real_escape_string($_POST['username']) . "' " .
  4.                  "AND password = '".md5($_POST['password'])."'";
  5. ?>
[PHP] pobierz, plaintext
kielich
28.12.2008, 21:41:04
dzieki wielki za ODP I0ud
temat do zamkniecia
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.