[PHP][MySQL] - logowanie i mysql_real_escape_string, W jaki sposób będzie poprawnie Opcje

[Mega_88]

Witam, może mi ktoś pomóc i powiedzieć, która wersja jest poprawna lub, której lepiej użyć żeby zapewnić sobie minimum bezpieczeństwa przy logowaniu ? Zrobiłem dwie wersje, ale jakoś bardziej poprawnie wygląda mi druga wersja. Mogę prosić o jakieś podpowiedzi, sugestie odnośnie kodu ?

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 $user = $_POST['user']; 
 $password = $_POST['password'];
  $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
   if(mysql_num_rows($logowanie)==1) {
    $_SESSION["isLoggedIn"]=1;  
    $_SESSION["login"]=$user;  
  } 	
 } 
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 $user = mysql_real_escape_string($_POST['user']); 
 $password = mysql_real_escape_string($_POST['password']); 
  $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
   if(mysql_num_rows($logowanie)==1) {
    $_SESSION["isLoggedIn"]=1;  
    $_SESSION["login"]=$user;  
  } 	
 }
 
[PHP] pobierz, plaintext 

[Bateria]

Wychodzi na to samo.
Ewentualnie do $_POST addslashes, chociaż i tak jest to już zbędne.

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 $user = addslashes($_POST['user']);
 $password = addslashes($_POST['password']);
  $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
   if(mysql_num_rows($logowanie)==1) {
    $_SESSION["isLoggedIn"]=1;  
    $_SESSION["login"]=$user;  
  } 	
 }
[PHP] pobierz, plaintext 

Największe bezpieczeństwo gwarantuje Ci jednak użycie biblioteki PDO.

Ten post edytował Bateria 23.03.2013, 21:31:39

[Mega_88]

Wychodzi na to samo.
Ewentualnie do $_POST addslashes

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 $user = addslashes($_POST['user']);
 $password = addslashes($_POST['password']);
  $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
   if(mysql_num_rows($logowanie)==1) {
    $_SESSION["isLoggedIn"]=1;  
    $_SESSION["login"]=$user;  
  } 	
 }
[PHP] pobierz, plaintext 

Myślałem właśnie nad dodaniem jeszcze "addslashes", ale czy to nie jest już tak trochę nawyrost i nie wpłynie to bardziej na bezpieczeństwo ?


Wiem, że PDO byłoby lepsze, ale jednak chciałbym jeszcze przerobić ten temat.

Ten post edytował Mega_88 23.03.2013, 21:35:53