Ti consiglio di passare a PDO. Con quello ' or 1=1 -- non passa.
Il codice sotto è solo a scopo dimostrativo. Le password vanno criptate ovviamente.
Codice PHP:<?php
$username=$_POST['username'];
$password=$_POST['password'];
//mi collego
$pdo = new PDO('mysql:host=127.0.0.1; dbname=tests','root','', array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));
$query = "SELECT * FROM utenti WHERE username = :username AND password = :password ";
$sth = $pdo->prepare($query);
$sth->bindParam(':username', $username, PDO::PARAM_STR);
$sth->bindParam(':password', $password, PDO::PARAM_STR);
$sth->execute();
$risultato = $sth->rowCount();
if($risultato>0){
echo "sono collegato";
}else{
echo "non sono collegato";
}
Rispondi quotando
