Помощ от експерт :)

[nagradi.is]

Здравейте,
Искам ви попитам има ли начин за защита против mysql injection на логин освен md5 енкрипцията?
Имам предвид като се логват и вместо парола напишат 1=1 да им казва..хайде да не казвам..
Благодаря предварително.

 

[aquilax]

От: Помощ от експерт

Да, има mysql_real_escape_string.

 

[nagradi.is]

От: Помощ от експерт

колкото и смешно да звучи (на мен ми изглежда смешно), съм опаковал заявката по този начин:
$parola = mysql_real_escape_string(htmlspecialchars($_POST['parolaa']));

смятам, че е достатъно сигурно..няколко потребителя се оплакват, че им хакват акаунтите..

 

[ventus]

От: Помощ от експерт

Използвай php framework. Той ти осигуряват поне 99,99% защита от всякакви инжекции.

 

[nagradi.is]

От: Помощ от експерт

Как трябва да стане това? на споделен хостинг съм..

 

[Tattler]

От: Помощ от експерт

А ти как разбра, че са им хакнали акаунтите по този начин? Иначе можеш да си решиш проблема, като при проверка на потребителското име и паролата използваш stored procedure в sql-a с параметри. По този начин, ако някой почне да ти пише някакви мизерии за парола или потребител, няма да им върне резултат и съответно няма да влезнат в сайта. Ето тук http://www.mysqltutorial.org/stored-procedures-parameters.aspx
можеш да видиш пример за процедури в mysql-a. Ако имаш въпроси пиши да помагаме

 

[resolver]

От: Помощ от експерт

Ако паролата минава през md5 няма смисъл от това escape-ване, виж потребителското име е по-важно да бъде escape-нато в този случай.

 

[nagradi.is]

От: От: Помощ от експерт

Паролата не минава през md5..escapnal съм и двете..i htmlspecialchars съм турил ..