[PHP][MySQL] - logowanie i mysql_real_escape_string, W jaki sposób będzie poprawnie Opcje

[Mega_88]

Witam, może mi ktoś pomóc i powiedzieć, która wersja jest poprawna lub, której lepiej użyć żeby zapewnić sobie minimum bezpieczeństwa przy logowaniu ? Zrobiłem dwie wersje, ale jakoś bardziej poprawnie wygląda mi druga wersja. Mogę prosić o jakieś podpowiedzi, sugestie odnośnie kodu ?

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 $user = $_POST['user']; 
 $password = $_POST['password'];
  $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
   if(mysql_num_rows($logowanie)==1) {
    $_SESSION["isLoggedIn"]=1;  
    $_SESSION["login"]=$user;  
  } 	
 } 
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 $user = mysql_real_escape_string($_POST['user']); 
 $password = mysql_real_escape_string($_POST['password']); 
  $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
   if(mysql_num_rows($logowanie)==1) {
    $_SESSION["isLoggedIn"]=1;  
    $_SESSION["login"]=$user;  
  } 	
 }
 
[PHP] pobierz, plaintext 

[Wazniak96]

Po co addslashes skoro używamy już mysql_real_escape_string ?
Polecam do przeczytania: mysql_real_escape_string vs. addslashes

PDO jest najlepszym rozwiązaniem. Po co tworzyć skrypt na module mysql_* skoro można od razu użyć PDO, przy okazji zaznajomić się z jego użyciem i nie głowić się nad bezpieczeństwem?

[Mega_88]

Po co addslashes skoro używamy już mysql_real_escape_string ?
Polecam do przeczytania: mysql_real_escape_string vs. addslashes

PDO jest najlepszym rozwiązaniem. Po co tworzyć skrypt na module mysql_* skoro można od razu użyć PDO, przy okazji zaznajomić się z jego użyciem i nie głowić się nad bezpieczeństwem?

Też mi się tak wydawało, że dodanie addslashes do escape_string już nie jest potrzebne.

A natomiast jeżeli już użytkownik się zaloguje to przy wysyłaniu czegoś do bazy przez POST używać wtedy addslashes bez escape_string tak żeby można było w tekscie stosować " ' " dobrze myślę ?


Jak pisałem wcześniej zdaję sobie sprawę, że PDO będzie najlepszym wyjściem, ale niestety nie jest to pisanie skryptu od nowa tylko przerabianie, który był stworzony wcześniej, a obecnie nie mam tyle czasu, że przerobić wszystko na PDO.


Więc jak wywnioskowałem z Waszych odpowiedzi mam zostać przy tej wersji:

[PHP] pobierz, plaintext 
if(isset ($_POST["wyslij"])){
 
 $user = mysql_real_escape_string($_POST['user']); 
 
 $password = mysql_real_escape_string($_POST['password']); 
 
  $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
 
   if(mysql_num_rows($logowanie)==1) {
 
    $_SESSION["isLoggedIn"]=1;  
 
    $_SESSION["login"]=$user;  
 
  } 	
 
 }
[PHP] pobierz, plaintext 

Ten post edytował Mega_88 23.03.2013, 22:19:03