DD
бинго
Size: a a a
2020 February 09
DD
а почему7
Г
да, только проверку на наличие добавь
Г
а потому что в $login или $pass можно прислать часть запроса и другого, например поменять пароль пользователя.
Г
такой тип атаки зовется иньекциями
МЗ
if(!empty($login) && !empty($pass)){
$query = "SELECT
$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
echo "Такой пользователь не найден";
}
}
$query = "SELECT
id , name, password FROM best WHERE name = '$login' AND password = '$pass'";$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
echo "Такой пользователь не найден";
}
}
Кто вас такому учил??? Не нужно хранить id пользователя в куке!!! Куку можно заменить и таким образом поменяв ид пользователя выполнять действия от другого пользователя
DD
<?php
require 'connect.php';
if(!isset($_COOKIE['id'])){
if (isset($_POST['submit'])) {
$login = mysqlI_real_escape_string($_POST['login']);
$pass = mysqlI_real_escape_string((md5($_POST['pass'])));
if(!empty($login) && !empty($pass)){
$query = "SELECT
$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
$err = "Такой пользователь не найден";
}
}
}
}
?>
require 'connect.php';
if(!isset($_COOKIE['id'])){
if (isset($_POST['submit'])) {
$login = mysqlI_real_escape_string($_POST['login']);
$pass = mysqlI_real_escape_string((md5($_POST['pass'])));
if(!empty($login) && !empty($pass)){
$query = "SELECT
id , name, password FROM best WHERE name = '$login' AND password = '$pass'";$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
$err = "Такой пользователь не найден";
}
}
}
}
?>
DD
кореш
DD
так?
DD
Кто вас такому учил??? Не нужно хранить id пользователя в куке!!! Куку можно заменить и таким образом поменяв ид пользователя выполнять действия от другого пользователя
я новичок, я знаю что все можно сделать по другому
DD
но я хочу пока так
DD
я знаю про сессии
МЗ
<?php
require 'connect.php';
if(!isset($_COOKIE['id'])){
if (isset($_POST['submit'])) {
$login = mysqlI_real_escape_string($_POST['login']);
$pass = mysqlI_real_escape_string((md5($_POST['pass'])));
if(!empty($login) && !empty($pass)){
$query = "SELECT
$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
$err = "Такой пользователь не найден";
}
}
}
}
?>
require 'connect.php';
if(!isset($_COOKIE['id'])){
if (isset($_POST['submit'])) {
$login = mysqlI_real_escape_string($_POST['login']);
$pass = mysqlI_real_escape_string((md5($_POST['pass'])));
if(!empty($login) && !empty($pass)){
$query = "SELECT
id , name, password FROM best WHERE name = '$login' AND password = '$pass'";$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
$err = "Такой пользователь не найден";
}
}
}
}
?>
Хеширование в md5 очень не надежный метод
DD
но хочу начать и сделать все с головы, а потом переделывть
DD
пассворд хеш
DD
да
Cп
Хеширование в md5 очень не надежный метод
Хотя бы хеширует. )
Г
<?php
require 'connect.php';
if(!isset($_COOKIE['id'])){
if (isset($_POST['submit'])) {
$login = mysqlI_real_escape_string($_POST['login']);
$pass = mysqlI_real_escape_string((md5($_POST['pass'])));
if(!empty($login) && !empty($pass)){
$query = "SELECT
$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
$err = "Такой пользователь не найден";
}
}
}
}
?>
require 'connect.php';
if(!isset($_COOKIE['id'])){
if (isset($_POST['submit'])) {
$login = mysqlI_real_escape_string($_POST['login']);
$pass = mysqlI_real_escape_string((md5($_POST['pass'])));
if(!empty($login) && !empty($pass)){
$query = "SELECT
id , name, password FROM best WHERE name = '$login' AND password = '$pass'";$result = mysqli_query($link, $query);
// print_r($result);
if (mysqli_num_rows($result) == 1) {
$row = mysqli_fetch_assoc($result);
setcookie('id', $row['id'], time() + (60*60) );
setcookie('name', $row['name'], time() + (60*60) );
header('Location: index.php');
}else{
$err = "Такой пользователь не найден";
}
}
}
}
?>
так да, но на сколько я знаю самый хороший метод это через плейсхолдеры.
DD
