Buongiorno, per un login uso un codice come questo:
Chiedo: è giusto usare mysql_num_rows per vedere se username e password sono presenti nel db?Codice PHP:select utente where username and password.....
if (mysql_num_rows($result) == 1)
l'utente esiste e faccio il login
altrimenti
else (mysql_num_rows($result) == 0)
non si entra
mysql_num_rows conta i risultati quindi va bene.
Il problema è un altro. Il codice che usi non è sicuro. Ti conviene selezionare un utente solo per password (e la password la fai così: md5($username . $password), in mdo da ottenere valori unici).
Cristiano
---
Originariamente inviato da rebelia : solo un nerd puo' pensare di tacchinare in un forum di informatica
ho postato giusto due righe per far capire la situazione: la pwd già ce l'ho in md5.
Che intendi con "Ti conviene selezionare un utente solo per password "??
Attualmente, faccio la seguente query:
Gli altri campi (livello, nome ecc.) servono ad altre cose tipo query altrove, saluto all'utente loggato etc. e alcuni di essi li metto nel file di sessione (= il file generato sul server, non sul cookie lato client)Codice PHP:SELECT * FROM tabellautenti WHERE username='$username' AND password='$pass'
Non è corretto?
va bene... però, a mio avviso, è inutile fare la selezione sia per username e password (quando uno dei due potrebbe causare una sql injection.... ti conviene selezionare solo per password (questa, ovviamente, è la combinazione criptata e di username e di password)
Cristiano
---
Originariamente inviato da rebelia : solo un nerd puo' pensare di tacchinare in un forum di informatica
Permessi di invio
Rispondi quotando