Salve, ho letto qualche articolo sull'SQL Injection e ho capito che, senza i dovuti accorgimenti, una query di questo tipo può essere facilmente "attaccata":
La mia domanda ora è questa: uno script PHP di questo tipo è inattaccabile?codice:$query = "SELECT * FROM users WHERE user='".$_POST['user']."' AND pwd='".$_POST['pwd']."'";
Considerando che il login avviene in "due tempi" (prima si estrae la password dal nome utente POI in seguito si confronta con quella inserita nella casella di testo) si può considerare come script sicuro? Oppure c'è il modo di attaccarlo?codice:$Utente = $_POST['user']; $Password = $_POST['pass']; $query="SELECT Password FROM Giocatori where Nome = '$Utente'"; $equ=mysql_query($query); $conta = mysql_num_rows($equ); $risultati = mysql_fetch_row($equ); if ($conta == 1) { if ($Password == $risultati[0]) { ... //Login Effettuato } else { ... //Login Errato
Grazie in anticipo per le risposte
Rispondi quotando
