Salve a tutti, vorrei chiedervi delle informazioni riguardo alla sicurezza. A noi, a scuola, hanno insegnato a fare il login, contenuto in un file login.php, in questo modo:
Tuttavia, ora che devo inserirlo nel mio sito web, mi vengono seri dubbiCodice PHP:
<?php
session_start();
include 'connect.php'; //includo i mysql_connect e select_db
?>
<html>
<body>
<?php
if (isset($_POST['acc']))
{
$em=$_POST["us"];
$pw=$_POST["pw"];
$app = "SELECT * FROM Utente WHERE Email='".$em."' AND Password='".$pw."'";
$query = trim(stripslashes($app));
$result = mysql_query($query);
$row = mysql_fetch_array($result);
if(!$row)
{
echo "<p class='par'>Username o password errati!</p>";
echo "<p class='par'>[url='login.php']<span>Riprova</span>[/url]</p>";
}
else
{
$_SESSION['ID']=$row[mysql_field_name($result,1)]; //recupero il nome
$_SESSION['ac']=$row[mysql_field_name($result,0)]; //recupero la chiave primaria
echo "<p class='par'>Benvenuto ".$_SESSION['ID']."</p>";
echo "<p class='par'>Accesso alla tua area personale in corso...";
echo "<meta http-equiv='Refresh' content='1; user.php'>";
}
}
}
else
{
echo "<form name='f1' method='post' action='login.php'>";
?>
E-mail:<input type=text name='us' value=""></p></div>
Password:<input type=password name='pw' value=""></p></div>
<input type=submit name='acc' value='Accedi'></p></form>
<?php
}
?>
</div>
</body>
</html>
Innanzitutto per il fatto che sul database non ho utilizzato nessun algoritmo di criptazione per le password (e qui vi chiedo se è meglio usarlo)..e poi perchè non mi ispira molto mi sa di troppo facile da attaccare cosa mi consigliate, per renderlo sicuro?