gjøre et loggin-skript sikrere

[Torbjørn]

vel det var en kommentar

 

ulogisk koding vitner om at du ikke har snøring på hva programmet ditt egentlig gjør

[Torbjørn]

jeg var ute etter en forklaring til bruk av både mysql_escape_string og add_slashes, og jeg var ute etter at du skulle begrunne det slik at du faktisk ble tvunget til å skjønne hva de gjør mer enn å kopiere rariteter du finner rundt omkring

[????????]

1: det var noen her på forumet som anbefalt meg det, noe med at man kan sette inn annen kode elns.. http://no2.php.net/mysql_escape_string

Et lite tips er å bruke manualen mer aktivt enn du gjør. Jeg har skrevet PHP koder i mange år, men likevel så må jeg bruke PHP manualen aktivt.

 

Her er noe som står på siden du referer til:

Note: This function has been deprecated since PHP 4.3.0. Do not use this function. Use mysql_real_escape_string() instead.

[phun-ky]

kommentar nr 1:

 

kopierte ikke, jeg ble anbefalt å bruke det av en bruker på forumet, hvem det var husker jeg ikke. men når jeg leser forklaringen på det så gir det en logikk, men ikke i sammenheng med scriptet mitt... (uansett, det å påstå at jeg ikke har snøring skal jeg ha meg frabedt)

 

mysql_escape_string: This function will escape the unescaped_string, so that it is safe to place it in a mysql_query().

 

addslashes(): Returns a string with backslashes before characters that need to be quoted in database queries etc. These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).

 

er litt ulogisk ja, for brukernavnet inneholder ikke ', " og \....

 

MEN, da jeg tok dem vekk, så funker ikke spørringen.. Vil tro at mysql_escape_string escaper @ (alfakrøll), derav grunnen til at jeg bruker det.. testet med bare mysql_escape_string, funket ikke, la på addslashes også, og da funket det knirkefritt. så er logikk her.

 

for kommentar nr 2 (IGJEN):

 

ja, det finnes andre måter å gjøre ting på. om det er bedre er vel en annen sak. min mening er at det er lettere å se i koden, den måten jeg gjør det på, at eposten som er oppgitt faktisk blir sjekket opp mot eposten i tabellen. og med denne koden så får jeg uansett riktig feilmelding når det er feil på epost eller passord.

[phun-ky]

1: det var noen her på forumet som anbefalt meg det, noe med at man kan sette inn annen kode elns..  http://no2.php.net/mysql_escape_string

Et lite tips er å bruke manualen mer aktivt enn du gjør. Jeg har skrevet PHP koder i mange år, men likevel så må jeg bruke PHP manualen aktivt.

 

Her er noe som står på siden du referer til:

Note: This function has been deprecated since PHP 4.3.0. Do not use this function. Use mysql_real_escape_string() instead.

prøvde å bytte dem, men fikk da bare mysql feil....

 

hele koden:

 

http://www.umedia.no/beta/b_signin.phps

[????????]

Tror ikke Torbjørn forsøker å gjøre deg sur, men poenget er at det skal ikke være noen forskjell - så om det er det så kan det føre til feil senere når det er flere brukere i database.

 

Test f.eks.:

$e_post = "[email protected]";

echo $e_post."<br>\n";

$esc = mysql_escape_string($e_post);

echo $esc."<br>\n";

$ep = addslashes($esc);

echo $ep."<br>\n";

 

Der skal adressen være lik hele veien.

[phun-ky]

ok, prøver igjen, ser dere det nå?

 

//det jeg har + echo

$password = md5($passord);

$esc = mysql_escape_string($e_post);

$ep = addslashes($esc);

/* echo $e_post."<br>";

echo $ep."<br>";

echo $esc."<br>"; */

 

null feilmeldinger, får logget inn. echoene er like

 

//det som er foreslått:

$ep=$_POST['email'];

echo $ep;

 

får feilmelding og blir ikke logget inn..:

 

 

[email protected]

ERROR

 

FEIL E-POST ELLER PASSORD!

Sikker på at du skrev inn eposten eller passordet riktig? Prøv igjen

 

Er du registerert? Hvis ikke trykk her for å registrere deg.

[????????]

Tenk litt på dette:

dersom $e_post, $ep og $esc alle gir samme output så er de like. Og dersom de er like så skal det ikke være noen forskjell på hvilken variabel du bruker, enig?

[phun-ky]

sier meg ikke i mot det.. men hvorfor funker det da ikke?

 

se på den siste kodesnutten jeg ga, der prøvde jeg med å ikke bruke mysql_escape_string, til ingen nytte..