此代码是否可以逃脱，或者是否容易受到SQL注入攻击

I'm running some tests for this login system im writing with my friend and we already had written our code with escaping, and not preparing. We're making sure it is invulnarable to anything put as a post_user and post_pass variable. Can you please check?

$_POST['post_user'] = mysql_real_escape_string($_POST['post_user']);

$_POST['post_pass'] = mysql_real_escape_string($_POST['post_pass']);

$query = mysql_num_rows(mysql_query("SELECT * FROM `users` WHERE
`user`='".$_POST['post_user']."' AND `pass`='".md5($_POST['post_pass'])."' AND
`rank`='0'"));

if($query == 1) {

$_SESSION[$this->host().'-us_user'] = $_POST['post_user'];

$_SESSION[$this->host().'-us_pass'] = md5($_POST['post_pass']);

$_SESSION[$this->host().'-us_token'] = $this->generateToken(16);

}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duandeng2011 2014-04-08 05:14
关注
There are 2 faults with this approach, both coming from a single delusion.

mysql_real_escape_string doesn't "protect" your data. So, it should never be used for the purpose of whatever "sanitizing". Using this function like this, you are exposing yourself to two not immediate but quite possible dangers.

Escaping password before hashing it may spoil the resulting hash.

Escaping any value beside SQL strings will result in injection.

That's why you should always use parameterizing instead of "escaping". Just because parameterizing is doing its job, while "escaping" is used out of mere confusion.
I wrote a through explanation on the whole matter with escaping / parameterizing in a article you are welcome to read.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

此代码是否可以逃脱，或者是否容易受到SQL注入攻击 mysql php
2014-04-08 01:50

回答 3 已采纳 There are 2 faults with this approach, both coming from a single delusion. mysql_real_escape_stri
ASP是否允许您从PHP等脚本标签中逃脱？ php
2012-09-29 14:23

回答 1 已采纳 You can. <% if (expression) then %> <h1>This will show if the expression is tru
PHP试图逃脱单引号 html javascript php
2014-01-02 14:51

回答 5 已采纳 Just change the quotes around: echo '<span class="song" id="'.$file.'" onClick="playSong(\''.a
数据密集型应用系统设计-第七章分布式系统的麻烦-笔记
2022-04-13 16:46

郭锅锅_的博客整个系列会在这几天都发布出来，可以关注一下链接: 数据密集型应用系统设计-笔记. 文章目录第八章分布式系统的麻烦1 故障与部分失效1.1 云计算与超级计算机2 不可靠的网络2.1 检测故障2.2 超时与无穷延迟2.3 同步...
使用正则表达式逃脱的网站网址 php
2014-01-11 07:38

回答 1 已采纳 My recommendation would be to use an already set up function, such as urlencode() to escape data f
这是逃脱多个领域的正确方法吗？ php
2012-04-11 03:22

回答 1 已采纳 That looks like he's written a custom function to escape. As long as that escape_all function is c
逃脱国际人物？ php
2010-03-28 13:16

回答 1 已采纳 The RHS (é, è, à, ê) are in ISO-8859-1 (and Unicode) encoding. The LHS (È, Ë, ‡, Í) are the corre
【Java面试大总结】历时两个多月的Java面试大总结_本人亲历（附答案）
2022-03-01 20:52

Willing卡卡的博客因为某些原因从上家公司离职，于是有机会跟着面试官疯狂学习；在面试中发现自己的技术也有很大的问题，就算是一个查...就这次的面试经历我总结整理了一份我面试被问到的问题以及我认为重要的知识点，分享出来做个记录！
PHP撇号逃脱了破坏链接 html php
2011-04-21 22:05

回答 2 已采纳 I think Chrome automatically escapes characters that are not correctly escaped. Always use: <
PHP json_encode失去了我的UTF-8逃脱？ json php
2010-11-12 18:51

回答 1 已采纳 You didn't escape your database inputs. Always escape! Here's one way $sql_query = "UPDATE test_
当我不需要它时，php逃脱 php
2010-02-03 23:15

回答 3 已采纳 There is nothing in that code that would produce the code you quote. My suspicion is that $url al
面试准备知识点
2021-06-29 10:36

EasyChill的博客数据：是客观事物的符号表示，能够输入到计算机中并能被计算机程序处理的符号的总称数据元素：是数据的基本单位，用于完整地描述一个对象数据对象：是性质相同的数据元素的集合，是数据的一个子集数据项：是...
json从drupal api中逃脱，在常规的php环境和jquery中使用 jquery php
2010-11-29 22:37

回答 2 已采纳 You can rewrite or ask to the plugin developer to update the plugin. In order to do it yourself ta
零碎
2019-10-02 20:23

TZU807158184的博客我们公司的整体架构是分布式的，分为大数据中心，微服务组，和业务层，我主要负责业务层的相关工作。系统采用SSM的架构，数据库用的是MySQL+mongo，缓存数据库用的是redis，系统之间的调用用dubbo实现，分布式锁用的...
JAVA面试题
2018-11-05 18:42

三番鱼的博客一般对于存放到Set集合或者Map中键值对的元素，需要按需要重写hashCode与equals方法，以保证唯一性！例如hashset存放多个对象，重写equals和hashcode 两个对象相等，其HashCode一定相同; 两个对象不相等，其...
Java开发必备技能清单：从入门到精通的全面指南
2023-10-20 08:30

Java程序员廖志伟的博客博客主页：我是廖志伟开源项目：java_wxid 哔哩哔哩：我是廖志伟个人社区：幕后大佬个人微信号： SeniorRD 博主的人生感悟和目标程序开发这条路不能停，停下来容易被淘汰掉，吃不了自律的苦，就要受平庸的罪，...
没有解决我的问题, 去提问

悬赏问题

¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测
¥15 ETLCloud 处理json多层级问题
¥15 matlab中使用gurobi时报错
¥15 这个主板怎么能扩出一两个sata口
¥15 不是，这到底错哪儿了😭
¥15 2020长安杯与连接网探
¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么

此代码是否可以逃脱，或者是否容易受到SQL注入攻击

3条回答 默认 最新

悬赏问题

3条回答默认最新