Запрос PHPMYADMIN с двумя ограничениями

Question

Запрос PHPMYADMIN с двумя ограничениями

0

Я пытаюсь создать логин script, который извлекает информацию, проверяя, что имя пользователя является частью группы. Другими словами, я использую два "ands" для проверки информации. Правильно ли я делаю это?

 PHP:

$check = mysql_query("SELECT username ,password FROM customers WHERE username =                     '".$_POST['user_name']."' and group_name='".$group_name."'")or die(mysql_error());

AAA 19 янв. 2011, в 17:35

Источник

1

убедитесь, что вы используете mysql_real_escape_string или что-то подобное, прежде чем использовать это. в противном случае это выглядит правильно.
Brandon Horsley 19 янв. 2011, в 15:41
1

Хм. Возможно, вы захотите ознакомиться с атаками SQL-инъекций, между прочим.
Matt Gibson 19 янв. 2011, в 15:42

Теги:

php

mysql

sql

1 ответ

Ещё вопросы

убедитесь, что вы используете mysql_real_escape_string или что-то подобное, прежде чем использовать это. в противном случае это выглядит правильно.
Хм. Возможно, вы захотите ознакомиться с атаками SQL-инъекций, между прочим.

thedom · Accepted Answer · 2011-01-19T14-40-00.000Z

Брэндон Хорсли и Мэтт Гибсон уже упоминал его как комментарии - подумайте о SQL injection. Следующая вещь в том, что я сильно не рекомендую использовать die(mysql_error()). В противном случае опытный пользователь может "прочитать что-то" из этого. Самый простой способ - использовать mysql_real_escape_string() (http://de.php.net/mysql_real_escape_string), чтобы вы могли адаптировать свой код так же (я полагаю, что $group_name также является значением, которое может манипулировать пользователем)

<?php
// ...
$check = mysql_query("SELECT username, password FROM customers WHERE username = '". mysql_real_escape_string($_POST['user_name']) ."' and group_name = '". mysql_real_escape_string($group_name) ."'") or die('error);
// ...
?>