V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.
Ta query ti vrátila FALSE, čili se neprovedla a nelze z ní načíst pole. Otázka je proč, ale to já ti asi neřeknu. Zkus si vypsat ten příkaz a vložit ho do MyPHPAdmina. Možná máš vypnutou databázi, možná je tam překlep, neexistuje tabulka...
2 připomínky:
Jo a 3. připomínka, ten hash bez soli je také nedostačující.
Pokud chceš být adminem webu jen ty, tak zapracuj mé připomínky.
Také koukám, že si Neaktivní uživatel koleduje o SQL injection.
Docela zábavné čtení. Je úplně jedno, jestli použiješ GET nebo POST. Injection se dá udělat do obojího.
njn,to víš no,je chytřejší než ty....:D 
TO přece není možný udělat
injection přes POST
btw. [me|]321[/me|],pošli odkaz na ten web,myslím že ti rádi
předvedeme ukázku
Ale jinak je v pořádku, že to posílá přes POST. Jen je to nutné ošetřit před vložením do SQL a po přijetí udělat přesměrování stránky.
Také je důležité v databázi nemít uživatelská hesla, ale jen jejich hashe. Pokud možno osolené.
Jj,já také používám post... Escapuji vše,i položky v SELECTu
....hesla ? hashe ? osolit ?
Vím co je heslo ale ten zbytek nevím
Osobně neescapuji nic, používám prepared statements. Tím pro mne escapování skončilo. Takové SQL dotazy jsou mnohem hezčí a přehlednější.
Určitě jsi slyšel o funkcích md5(), sha1(), sha256() apod. K heslu přidáš nějaký řetězec (sůl), zašifruješ vybranou funkcí (hash) a do databáze jen uložíš výsledek (string). Takové heslo není současnými prostředky možné dešifrovat.
a když se někdo bude chtít přihlásit tak jak to dešifruje ?
Nijak. Nejde to. Heslo, které uživatel zadá, se zašifruje stejným postupem a porovnají se výsledky. Pokud jsou totožné, je to OK.
Je to standardní osvědčený postup používaný v profesionálních aplikacích.
Teď koukám, že ten hash (i když bez soli) tam už je. No co, přehlédl jsem se.
Zobrazeno 18 zpráv z 18.
