Автооризация!

[Yuriy_S]

Автооризация!

Привет всем. Почитал я тут в форуме про безопасность, и хочется спросить:
я сделал форум, и в нем такая авторизация:
есть форма для ввода пароля и логина, она находится в самом начале скрипта.
потом я сверяю введенные данные с данными из БД MySql:

//до условия идет выборка из базы паролей и имени админа
if(($name==$head && $pas==$head_pass) || ($name==$moder && $pas==$pass)){
//тут идет вывод данных для соответствующего админа
}
else {
echo "Ваши данные не верны";
}


Нормально ли это?

 

[Alex2003]

Я делаю выборку из базы по логину и паролю, и проверяю - есть-ли результат. ИМХО надежнее и быстрее. Только надо переменные тщательнее фильтровать.

 

[Yuriy_S]

то есть тщательнее фильтровать?
Условие то у меня двойное, там проверяется, простой ли это админ, или супер модератор, со ввсеми возможностями...

 

[Alex2003]

Есть таблица
users(
level int,
login char(32),
password char(32))

приходят тебе из формы две переменные: $login и $passwd.
фильтруешь их (вырезаешь спецсимволы и т.д.) и делаешь запрос

select level from users where (login='$login) and (password='$passwd')

потом проверяешь, что в результате должна быть только одна строка (mysql_num_rows())

И смотришь - какой уровень у пользователя.
Вот и все. (Ну, логины и пароли лучше шифровать md5...)

 

[Yuriy_S]

точно! про спец символы совсем забыл!
Спасибо.