Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> sprawdzanie zalogowania, czy możliwy atak sqli
eccocce
post
Post #1





Grupa: Zarejestrowani
Postów: 165
Pomógł: 5
Dołączył: 10.07.2008
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

Hej,
Mam takie zapytanko do sprawdzania, czy użytkownik podał poprawne dane przy logowaniu:
[SQL] pobierz, plaintext 
  1. SELECT * FROM users WHERE email=$email AND pass=SHA1($pass)
[SQL] pobierz, plaintext

Za $email podstawiam dane zwalidowane funkcją PHP:
[PHP] pobierz, plaintext 
  1. filter_var($email, FILTER_VALIDATE_EMAIL)
[PHP] pobierz, plaintext

a za $pass to co podał użytkownik w polu tekstowym bez żadnego walidowania.

Logowanie uznajemy za poprawne, jeśli zapytanie zwróci dokładnie 1 rekord.
O ile można zaufać funkcji filter_var o tyle wydaje mi się, że zapytanie jest nie do obejścia.
Co o tym sądzicie?
Go to the top of the page
+Quote Post

Posty w temacie
- eccocce   sprawdzanie zalogowania   29.08.2011, 16:05:50

« Następny starszy · MySQL · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 19.08.2025 - 07:23
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn