Jak nie zabezpiecze kodu a
moje pola login i password takie maja atrybuty NAME
to wtedy wystarczy ze ktos wpisze
login='a' || login=''
a w password tak samo tylko password ?
czy jak to sprawdzic czy tak sie da ?
wwww2 napisał(a)
Jak nie zabezpiecze kodu a
moje pola login i password takie maja atrybuty NAME
to wtedy wystarczy ze ktos wpisze
login='a' || login=''
a w password tak samo tylko password ?
czy jak to sprawdzic czy tak sie da ?
Jeżeli ktoś to wpisze w pasku adresu w QUERY_STRING'u to wystarczy addslashes() przed dalszymi operacjami na $_GET i to zabezpiecza skrypt.
Dla MySQL jest mysql_real_escape() i to też stawia backslash'e przed cydzysłowami pojedynczymi i podwójnymi i nie pozwala na zdalne zakończenie wartości tekstowej.
BTW: Pisz trochę bardziej po Polsku (zrozumiale)
lol, nie ma czegos takiego jak injection w PHP, chyba, ze uzywasz eval.
Tutaj raczej chodzi o MySQL injection. Ale to co podał wwww2 w przykładzie, to że tak powiem jeszcze małe piwo. Najgorsze jest, jak masz nową bazę (MySQL 5 i wzwyż) i ktoś Ci walnie w takim czymś " '; TRUNCATE nazwa_tabeli; " :)