Co je spatne na tomto SQL dotazu?

HellCoder · Příspěvek od **HellCoder** » 08 kvě 2013 17:19

$data = mysql_fetch_array(mysql_query("SELECT * FROM uzivatele WHERE jmeno=".$_GET['jmeno']." AND heslo=".hash(md5,$_GET['heslo']) ));

Nevite nekdo co je na tom spatne? Diky moc
HellCoder

CZechBoY · Příspěvek od **CZechBoY** » 08 kvě 2013 17:24

cokoliv
nemusí existovat tabulka, v get můžou být zákeřné/prázdné hodnoty...

fu.cz · Příspěvek od **fu.cz** » 09 kvě 2013 21:44

a co ta tečka?

CZechBoY · Příspěvek od **CZechBoY** » 09 kvě 2013 21:52

jaká tečka?
teď jsem si všiml že tam nemá apostrofy..

fu.cz · Příspěvek od **fu.cz** » 09 kvě 2013 22:15

ty si odborník. On se ptal na sql dotaz ne na to co se děje dál.
Btw na co apostrof??? Pokud nemyslíš uvozovky a tu tečku.

CZechBoY · Příspěvek od **CZechBoY** » 09 kvě 2013 22:17

tečka spojuje stringy v php
apostrofy třeba na uvození textu, bez apostrofů můžeš vložit jen čísla a funkce

neudy · Příspěvek od **neudy** » 09 kvě 2013 22:25

Ahoj,
zkusil bych tohle, nicméně si nejsem jist, jestli lze php funkci hash takto v sql využít.

Kód: Vybrat vše

$data = mysql_fetch_array(mysql_query("SELECT * FROM uzivatele WHERE jmeno='" . $_GET['jmeno'] . "' AND heslo='" . hash(md5,$_GET['heslo']) . "' "));

Navíc využívání metody GET pro heslo není zrovna bezpečné(http://cs.wikipedia.org/wiki/GET). Já bych navrhoval změnu na toto:

Kód: Vybrat vše

$data = mysql_fetch_array(mysql_query("SELECT * FROM uzivatele WHERE jmeno='" . $_POST['jmeno'] . "' AND heslo=PASSWORD('" . $_POST[heslo] . "') "));

CZechBoY · Příspěvek od **CZechBoY** » 09 kvě 2013 22:29

neudy: čim sis pomohl, že místo GET si použil POST?
tu funkci musíš escapovat funkcí mysql_real_escape_string v případě řetězce a v případě celého čísla přes (int)$var, v případě desetinného čísla (float)$var

proč by nešlo použít funkci hash? vrací řetězec, takže je to možné

neudy · Příspěvek od **neudy** » 09 kvě 2013 22:34

Použít metodu GET pro přenos hesla je dle mě chyba viz http://php.vrana.cz/http-metody-get-a-post.php. Neříkám, že to hash nebude fungovat. Já jen navrhnul co znám a používám.

CZechBoY · Příspěvek od **CZechBoY** » 09 kvě 2013 22:36

jasně protože GET se uchovává v historii se všemi parametry
já ten dotaz nestudoval co tam odesílá, ani nenapsal, že to je formulář na přihlášení, takže to můžou být fiktivní jména proměnných

fu.cz · Příspěvek od **fu.cz** » 09 kvě 2013 22:43

jee konečně někdo pochopil tu tečku

Kromě toho, apostrof a uvozovky vedle sebe sou ok?

CZechBoY · Příspěvek od **CZechBoY** » 09 kvě 2013 22:47

ta tečka nemusí být oddělené mezerou či jiným bílým znakem, je jen dobrá konvence psaní kodu
tohle je postupný skládání dotazu, ikdyž úplně debilní

, takže apostrofy se pošlou v SQL příkazu, zatímco uvozovky uvozují řetězec v PHP

PC-HELP.CZ

CNEWS

Co je spatne na tomto SQL dotazu?

Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?

Re: Co je spatne na tomto SQL dotazu?