Autor Zpráva
schimpanze
Profil *
mám formulář, uživatel zadá data, pomocí get jsou přenesena do skriptu a jak se to udělá s mysql aby se ty údaje porovnali?
schimpanze
Profil *
neni to
mysql_query("select username, password from users where username=$_GET["$jmeno"] and password=$_GET["heslo"]") ?
tiso
Profil
1. prihlasovacie údaje z formu určite neposielaj cez GET ale cez POST
2. lepšie je keď v DB bude heslo zašifrované (funkciami md5, alebo sha)
schimpanze
Profil *
jaky je v tom rozdíl?
nightfish
Profil
schimpanze
rozdíl je v tom ten, že když to pošleš přes GET, tak uvidíš jméno i heslo v URL
schimpanze
Profil *
a pak se musi este to heslo
decrypt_md5() nebo tak nejak ne?
schimpanze
Profil *
nightfish
takze radsi POST?
nightfish
Profil
md5() nebo sha1(), podle hashe použitého v databázi

EDIT: ano, POST
schimpanze
Profil *
ja se este moc neorijentuju v databazich :)
Yrrah
Profil
mysql_query("select username, password from users where username=$_GET["$jmeno"] and password=$_GET["heslo"]")
Tohle propána nikdy nedělej!!!

Přestav si, že ti přes ten GET přijde od uživatele něco jako
"''; delete from users; ...."


Říká se tomu SQL injection.

Raději si ten GET nejdříve ulož do nějaké proměnné a před posláním do DB s ní udělej mysql_escape_string.
DJ Miky
Profil
a před posláním do DB s ní udělej mysql_escape_string

Raději mysql_real_escape_string() kvůli kódování.
Toto téma je uzamčeno. Odpověď nelze zaslat.