Ho preso il tuo codice. Se immetto dati Giusti compare la scritta "sono collegato" altrimenti compare la scritta "non sono collegato".
Se immetto username = claudio e password = bolzano mi compare la scritta "sono collegato" ed è normale.Codice PHP:<?php
$username=$_POST['username'];
$password=$_POST['password'];
//mi collego
//$connessione=new mysqli("indirizzo server", "utente","password", "nome databse")or die("non posso collegarmi");
$connessione = new mysqli("localhost","root","", "tests") or die("non posso collegarmi");
$query = "SELECT * FROM utenti WHERE username = '$username' AND password = '$password' ";
print "$query<br/>";
$ris = mysqli_query($connessione,$query );
$riga = mysqli_fetch_array($ris);
$risultato = mysqli_num_rows($ris);
// se la riga � maggiore di 0 l'utente � registrato
if($risultato>0){
echo "sono collegato";
}else{
echo "non sono collegato";
}
Se immetto username = carlo e password = parigi mi compare la scritta "non sono collegato" ed è normale
Se immetto username = ' or 1=1 -- e password = ' or 1=1 -- (per la password immetto qualcosa per passare gli eventuali controlli) mi compare la scritta "sono collegato" e non è del tutto normale.
La query è : SELECT * FROM utenti WHERE username = '' or 1=1 -- ' AND password = '' or 1=1 --'
I dati della tabella utenti :
Rispondi quotando
