Már*_*égh 8 php mysql sql-injection login-page
我读过关于 SQL 注入的内容,所以我在我的网站上进行了尝试,当然它奏效了。我们正在连接到数据库。所以这是我登录页面的 PHP 代码的一部分:
$userName = $_POST["username"];
$userPass = $_POST["password"];
$query = "SELECT * FROM users WHERE username = '$userName' AND password = '$userPass'";
$result = mysqli_query($dbc, $query); //$dbc is for MySQL connection: $dbc = @mysqli_connect($dbhost, $dbuser, $dbpass, $db)
$row = mysqli_fetch_array($result);
if(!$row){
echo "No existing user or wrong password.";
}
我一直在寻找解决方案很长时间,但我无法弄清楚如何以参数化的方式使其工作。你能帮我完成我的代码以防止 SQL 注入吗?
Fab*_*bio 10
干得好
$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?");
mysqli_stmt_bind_param($stmt, "s", $userName);
mysqli_stmt_bind_param($stmt, "s", $userPass);
mysqli_stmt_execute($stmt);
$row = mysqli_stmt_fetch($stmt);
作为旁注,我建议加密您的密码或更好地使用哈希以确保安全,将密码存储为纯文本是不好的
| 归档时间: |
|
| 查看次数: |
14925 次 |
| 最近记录: |