Gå til innhold

gjøre et loggin-skript sikrere

toss

Av toss
i Programmering og webutvikling

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
????????

????????

Skrevet
Skrevet
1: det var noen her på forumet som anbefalt meg det, noe med at man kan sette inn annen kode elns.. http://no2.php.net/mysql_escape_string

Et lite tips er å bruke manualen mer aktivt enn du gjør. Jeg har skrevet PHP koder i mange år, men likevel så må jeg bruke PHP manualen aktivt.

 

Her er noe som står på siden du referer til:

Note: This function has been deprecated since PHP 4.3.0. Do not use this function. Use mysql_real_escape_string() instead.
Lenke til kommentar
phun-ky

phun-ky

Skrevet
Skrevet

kommentar nr 1:

 

kopierte ikke, jeg ble anbefalt å bruke det av en bruker på forumet, hvem det var husker jeg ikke. men når jeg leser forklaringen på det så gir det en logikk, men ikke i sammenheng med scriptet mitt... (uansett, det å påstå at jeg ikke har snøring skal jeg ha meg frabedt)

 

mysql_escape_string: This function will escape the unescaped_string, so that it is safe to place it in a mysql_query().

 

addslashes(): Returns a string with backslashes before characters that need to be quoted in database queries etc. These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).

 

er litt ulogisk ja, for brukernavnet inneholder ikke ', " og \....

 

MEN, da jeg tok dem vekk, så funker ikke spørringen.. Vil tro at mysql_escape_string escaper @ (alfakrøll), derav grunnen til at jeg bruker det.. testet med bare mysql_escape_string, funket ikke, la på addslashes også, og da funket det knirkefritt. så er logikk her.

 

for kommentar nr 2 (IGJEN):

 

ja, det finnes andre måter å gjøre ting på. om det er bedre er vel en annen sak. min mening er at det er lettere å se i koden, den måten jeg gjør det på, at eposten som er oppgitt faktisk blir sjekket opp mot eposten i tabellen. og med denne koden så får jeg uansett riktig feilmelding når det er feil på epost eller passord.

Lenke til kommentar
phun-ky

phun-ky

Skrevet
Skrevet
1: det var noen her på forumet som anbefalt meg det, noe med at man kan sette inn annen kode elns..  http://no2.php.net/mysql_escape_string

Et lite tips er å bruke manualen mer aktivt enn du gjør. Jeg har skrevet PHP koder i mange år, men likevel så må jeg bruke PHP manualen aktivt.

 

Her er noe som står på siden du referer til:

Note: This function has been deprecated since PHP 4.3.0. Do not use this function. Use mysql_real_escape_string() instead.

prøvde å bytte dem, men fikk da bare mysql feil....

 

hele koden:

 

http://www.umedia.no/beta/b_signin.phps

Lenke til kommentar
????????

????????

Skrevet
Skrevet

Tror ikke Torbjørn forsøker å gjøre deg sur, men poenget er at det skal ikke være noen forskjell - så om det er det så kan det føre til feil senere når det er flere brukere i database.

 

Test f.eks.:

$e_post = "[email protected]";

echo $e_post."<br>\n";

$esc = mysql_escape_string($e_post);

echo $esc."<br>\n";

$ep = addslashes($esc);

echo $ep."<br>\n";

 

Der skal adressen være lik hele veien.

Lenke til kommentar
phun-ky

phun-ky

Skrevet
Skrevet

ok, prøver igjen, ser dere det nå?

 

//det jeg har + echo

$password = md5($passord);

$esc = mysql_escape_string($e_post);

$ep = addslashes($esc);

/* echo $e_post."<br>";

echo $ep."<br>";

echo $esc."<br>"; */

 

null feilmeldinger, får logget inn. echoene er like

 

//det som er foreslått:

$ep=$_POST['email'];

echo $ep;

 

får feilmelding og blir ikke logget inn..:

 

 

[email protected]

ERROR

 

FEIL E-POST ELLER PASSORD!

Sikker på at du skrev inn eposten eller passordet riktig? Prøv igjen

 

Er du registerert? Hvis ikke trykk her for å registrere deg.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...