chiarissimi
quindi faccio
$salt="tante belle parole";
$psw=sha256($psw.$salt);
poi quando dovrò estrarre
$psw=sha256($salt.mysql_real_escape_string($psw)); corretto???
Originariamente inviata da boots
quindi una sorta di livello di accesso
liv1- fa tutto
liv2- alcune cose
liv3- guarda
ho interpretato bene???
Server utilizzato: MySQL
(cit.)
Un misto tra pazzia ed intelligenza
L'ordine deve essere lo stesso...
$psw=sha256($salt.mysql_real_escape_string($psw));
$psw=sha256($salt.$psw);
Non proprio...
Metti caso ho un codice del genere
Io faccio il login e quindi posso effettuare la cancellazioe di un utente. Non faccio il logout e visito il sito (o ricevo una mail) di un malintenzionato.Codice PHP:// www.miosito.it/admin/cancella_utente.php
session_start();
if(!isset($_SESSION['username'])) {
// redirect
}
$id = (int)$_GET['id'];
mysql_query ("DELETE FROM users WHERE id=$id");
Questi piazza il link www.miosito.it/admin/cancella_utente.php?id=1 nel src di un tag img.
Il tuo browser farà la richiesta a www.miosito.it e visto che sono alcora loggato (ed ho i permessi) il record 1 verrà cancellato senza che io me ne accorga
Ultima modifica di boots; 24-09-2014 a 19:13
ragazzi ho incontrato un altro problema...
in pratica il login in locale funziona in remoto no
facendo delle prove con echo, mi sono accorto che result rimane vuota
di conseguenza anche count e non entrerà mai nell'if...
come risolvo... la cosa è stana...
EDITCodice PHP:<?php session_start();
require_once('../Connections/Araldica.php');
$user = $_POST['user'];
$psw = $_POST['psw'];
$user = stripslashes($user);
$psw = stripslashes($psw);
$user = mysql_real_escape_string($user);
$psw = mysql_real_escape_string($psw);
$query = "SELECT * FROM admin WHERE BINARY username='$user' AND password='$psw'" or die('query non riuscita'.mysql_error());
$result = mysql_query($query);
echo $result;
$count = mysql_num_rows($result);
echo $user." ".$psw." ".$count;
if($count==1){
$_SESSION['SESSION_username'] = $user;
$_SESSION['SESSION_psw'] = $psw;
echo "funziona!!!";
header("location: ../Backoffice/backoffice.php");}
else{
echo "funziona!!!";
header("location: ../index.php");}
?>
le sto provando tutte ho anche messo la connessione all'interno del file stesso più tosto che richiamarla...
che mi invento???
Ultima modifica di rare; 25-09-2014 a 08:42
Server utilizzato: MySQL
(cit.)
Un misto tra pazzia ed intelligenza
Codice PHP:$query = "SELECT * FROM admin WHERE BINARY username='$user' AND password='$psw'";
$result = mysql_query($query) or die('query non riuscita ' . mysql_error());
mi da errore
query non riuscita no db selected...
e pure la connessione funziona
nell'index ho stampato tutta la tabella
Server utilizzato: MySQL
(cit.)
Un misto tra pazzia ed intelligenza
nell'index
ma questo script non è l'index
riapri la connessione e vedi se va
ma la connessione è aperta...
require_once('../Connections/Araldica.php');
e comunque sul locale funziona è il remoto che da problemi...
Server utilizzato: MySQL
(cit.)
Un misto tra pazzia ed intelligenza
Sicuro di selezionare il db ?
si
Araldica.php
davvero è una cosa strazianteCodice PHP:<?php
# FileName="Connection_php_mysql.htm"
# Type="MYSQL"
# HTTP="true"
$hostname_Araldica = "localhost";
$database_Araldica = "araldica";
$username_Araldica = "root";
$password_Araldica = "";
$Araldica = mysql_pconnect($hostname_Araldica, $username_Araldica, $password_Araldica) or trigger_error(mysql_error(),E_USER_ERROR); ?>
Server utilizzato: MySQL
(cit.)
Un misto tra pazzia ed intelligenza
Sicuro di selezionare il db ?
No
Comunque usa mysqli o PDO, non mysql che è deprecata
No
Permessi di invio
Rispondi quotando