[AlmogBaku]

ניצן כתב לך פה על הרבה דברים נהדרים שאפשר ללמוד.
אומנם אני לא מסכים עם הכל(אהם, מה לעזאזל המחלקה המעצבנת הזו של ה SQL?? אם כבר אז PDO)


עקרונית- במצב שלך הייתי מתחיל עם משהו הרבה יותר בסיסי-
רכישת ניסיון.


אתה אומר שאתה יודע ויודע ויודע, אך הקוד שלך לא מראה שאתה יודע ויודע ויודע.
תעבוד יותר מסודר ויותר נקי-
החל מאימות משתמש בSQL ולא ב PHP
וכלה בשבירת סטרינגים כדי להכניס משתנים.


פשוט ניסיון, זו מילת המפתח.

[Shay Ben Moshe]

ציטוט:

נכתב במקור על ידי Baku

ניצן כתב לך פה על הרבה דברים נהדרים שאפשר ללמוד.
אומנם אני לא מסכים עם הכל(אהם, מה לעזאזל המחלקה המעצבנת הזו של ה SQL?? אם כבר אז PDO)


עקרונית- במצב שלך הייתי מתחיל עם משהו הרבה יותר בסיסי-
רכישת ניסיון.


אתה אומר שאתה יודע ויודע ויודע, אך הקוד שלך לא מראה שאתה יודע ויודע ויודע.
תעבוד יותר מסודר ויותר נקי-
החל מאימות משתמש בSQL ולא ב PHP
וכלה בשבירת סטרינגים כדי להכניס משתנים.


פשוט ניסיון, זו מילת המפתח.

אני לא יודע מה אתה יודע שאני לא יודע אבל אני למדתי שאם אני אשים קוד שכזה:

PHP קוד:

SELECT * FROM admin WHERE name='$post_name', pass='$post_pass' 


ניתן יהיה בקלות להזריק דרך הpost קוד כמו ' or a='a וזה פשוט עוקף את זה. אז אמרתי לעצמי, למה לא לעשות את האימות בPHP שזה השוואה של שתי מחרוזות? זה הרבה יותר מאובטח ככה.

חוץ מזה לא ראית מערכת, ראית קטע קטן ממערכת. ולפי מה זה לא נקי ולא מסודר? אתה לא מסביר אתה מה שאתה אומר, במיוחד שזה לא נכון. הקוד שלי דווקא כן מסודר, ולזה אני מודע בוודאות.

[Elad-A]

ציטוט:

נכתב במקור על ידי The Chosen Generl

אני לא יודע מה אתה יודע שאני לא יודע אבל אני למדתי שאם אני אשים קוד שכזה:

PHP קוד:

SELECT * FROM admin WHERE name='$post_name', pass='$post_pass' 


ניתן יהיה בקלות להזריק דרך הpost קוד כמו ' or a='a וזה פשוט עוקף את זה. אז אמרתי לעצמי, למה לא לעשות את האימות בPHP שזה השוואה של שתי מחרוזות? זה הרבה יותר מאובטח ככה.

חוץ מזה לא ראית מערכת, ראית קטע קטן ממערכת. ולפי מה זה לא נקי ולא מסודר? אתה לא מסביר אתה מה שאתה אומר, במיוחד שזה לא נכון. הקוד שלי דווקא כן מסודר, ולזה אני מודע בוודאות.

אתה אמור לאבטח את המשתנים לפני שהם מגיעים לשאילתה..
במקרה הנוכחי, mysql_escape_string יספיק.