in effetti sono un cretino, io salvo l'md5 nel database ma andavo a confrontare il valore originaleOriginariamente inviato da marketto
Proteggersi dalla SQL Injection:
http://freephp.html.it/articoli/view...p?id=123&pag=1
secondo me ti conviene memorizzare il codice protetto con MD5 all'interno del db, dentro un campo CHAR(32), poi per verificare l'autenticazione fai subito un:
dove $valore ti arriva dal form, ed è stata ripulita con trim, mysql_escape_string, htmlentites, etc.codice:SELECT campo FROM tabella WHERE campo = MD5('$valore');
non so se ridere o picchiare la testa contro il muro, md5 l'ho sepre usato anche quando l'accesso lo faccio con pass e nome utente e non capisco perché qui non l'abbia usato
la mia stringa mi è passata ma l'ho inserita direttamente nel formOriginariamente inviato da piero.mac
Con la password personalmente faccio cosi': la prima operazione possibile appena arrivato nella pagina.
$pwd = MD5($_POST['password']);
Me ne impippo di verificare la pwd. Se ci sono caratteri strani non ci sara' corrispondenza nel db e nello stesso tempo lo user puo' utilizzare tutti i caratteri che vuole.
Per le sql injection trovi una tonnellata di materiale specie su siti universitari... Sono comunque facili da parare. Quella stringa di 13manuel84 e' passata perche' l'avra' eseguita direttamente da shell (phpmyadmin).
vedrò di documentarmi meglio sulle sql injection...
Grazie ad entrambi
Rispondi quotando