salve, ho creato un'area riservata sul mio sito, ma mi sono appena accorto che è una sicurezza minima, perchè il codice non si protegge dalle sql injections.
mi potreste dare un qualche suggerimento? (il codice l'ho preso da questo sito)
login.php
Codice PHP:<?php
//includo il file di Configurazione con session_start()) dentro
include "config.php";
$userid=trim($_POST['username']);
$pass=trim($_POST['password']);
//Eseguo una query nella tabella utenti verificando se esiste l'username con quella password.
// codice vulnerabile...converebbe introdurre codice anti inject codes..
$query = mysql_query("SELECT ac_username FROM accesso WHERE ac_username = '".$_POST['username']."' AND ac_password = '".$_POST['password']."'");
$var=mysql_num_rows($query);
//se esiste l'account registra la sessione
if($var==1)
{
//metto l'username nella variabile di sessione "username"
$_SESSION['username'] = $_POST['username'];
//Faccio il redirect nella pagine enter.php
echo "<script>
window.location = \"enter.php\"
</script>";
}
else
{
//Faccio il redirect nella pagine enter.php
//Questa sezione può contenere l'implementazione della parte di codice relativa al login errato.
echo "<script>
window.location = \"enter.php\"
</script>";
}
?>
Rispondi quotando
