Forum PHP.pl

Witajcie mam dwa pytania co do bezpieczeństwa stron:

1. Jak zabezpieczyć podane niżej zapytanie przez SQL Injection? Czytałem kilka artykułów ale dalej nic nie wiem:

[SQL] pobierz, plaintext 
SELECT * FROM Uzytkownicy WHERE User= '$login' AND WHERE Haslo= '$haslo'
[SQL] pobierz, plaintext 

2. Jak zabezpieczyć wpisywane znaki w pola hasła i loginu, tak aby nie można było wpisać kodu html/php

Ten post edytował Matimor 4.11.2009, 17:23:15

W obydwu przypadkach wystarczy że przepuścisz wszystko przez mysql_real_escape_string czyli:

[PHP] pobierz, plaintext 
$login = mysql_real_escape_string($login); 
[PHP] pobierz, plaintext 

I tak samo ze zmienną $haslo.

Tak może być? :

[SQL] pobierz, plaintext 
$login = mysql_real_escape_string($_POST['login']);
$haslo = mysql_real_escape_string($_POST['haslo']);
$sql = sprintf("SELECT * FROM Uzytkownicy WHERE User= '$login' AND WHERE Haslo= '$haslo'");
[SQL] pobierz, plaintext 

I rejestracja:

[SQL] pobierz, plaintext 
$nick = mysql_real_escape_string($_POST['p_name']);
$haslo = mysql_real_escape_string($_POST['p_pass']);
$sql = sprintf("INSERT INTO Uzytkownicy  (User, Haslo) VALUES('$nick','$haslo')");
[SQL] pobierz, plaintext 

Ten post edytował Matimor 4.11.2009, 17:23:06

Co do hasła to zainteresuj się md5(); , a jeśli chodzi o wyświetlanie loginu to htmlspecialchars(); broni przed html i js

MD5 mam już dodane w wcześniejszej funkcji.