| Autor | Zpráva | ||
|---|---|---|---|
| schimpanze Profil * |
#1 · Zasláno: 15. 2. 2007, 21:01:06
mám formulář, uživatel zadá data, pomocí get jsou přenesena do skriptu a jak se to udělá s mysql aby se ty údaje porovnali?
|
||
| schimpanze Profil * |
#2 · Zasláno: 15. 2. 2007, 21:08:19
neni to
mysql_query("select username, password from users where username=$_GET["$jmeno"] and password=$_GET["heslo"]") ? |
||
| tiso Profil |
#3 · Zasláno: 15. 2. 2007, 21:10:00 · Upravil/a: tiso
1. prihlasovacie údaje z formu určite neposielaj cez GET ale cez POST
2. lepšie je keď v DB bude heslo zašifrované (funkciami md5, alebo sha) |
||
| schimpanze Profil * |
#4 · Zasláno: 15. 2. 2007, 21:11:08
jaky je v tom rozdíl?
|
||
| nightfish Profil |
#5 · Zasláno: 15. 2. 2007, 21:12:31
schimpanze
rozdíl je v tom ten, že když to pošleš přes GET, tak uvidíš jméno i heslo v URL |
||
| schimpanze Profil * |
#6 · Zasláno: 15. 2. 2007, 21:13:24
a pak se musi este to heslo
decrypt_md5() nebo tak nejak ne? |
||
| schimpanze Profil * |
#7 · Zasláno: 15. 2. 2007, 21:15:02
nightfish
takze radsi POST? |
||
| nightfish Profil |
#8 · Zasláno: 15. 2. 2007, 21:15:12 · Upravil/a: nightfish
md5() nebo sha1(), podle hashe použitého v databázi
EDIT: ano, POST |
||
| schimpanze Profil * |
#9 · Zasláno: 15. 2. 2007, 21:17:23
ja se este moc neorijentuju v databazich :)
|
||
| Yrrah Profil |
#10 · Zasláno: 15. 2. 2007, 23:11:53
mysql_query("select username, password from users where username=$_GET["$jmeno"] and password=$_GET["heslo"]")
Tohle propána nikdy nedělej!!! Přestav si, že ti přes ten GET přijde od uživatele něco jako "''; delete from users; ...." Říká se tomu SQL injection. Raději si ten GET nejdříve ulož do nějaké proměnné a před posláním do DB s ní udělej mysql_escape_string. |
||
| DJ Miky Profil |
#11 · Zasláno: 15. 2. 2007, 23:17:47
a před posláním do DB s ní udělej mysql_escape_string
Raději mysql_real_escape_string() kvůli kódování. |
||
|
Časová prodleva: 17 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0