webman
Новичок
SQL инъекции...
Подвержен ли такой запрос:
SQL инъекциям?
$username - из формы методом POST, длина поля 20 символов.
Строка типа xxx" or "1"="1 в поле имени дает запрос типа
который выполняется, но потом есть сравнение pwd из таблицы с md5(pwd из поля).
Есть ли еще варианты обхода такой конструкции?
ps: пытаюсь защить авторизацию... может чего не так делаю?
Подвержен ли такой запрос:
PHP:
$query = 'SELECT pwd, status FROM ' . TABLE_PREFIX . 'users WHERE name="' .$username . '"';$username - из формы методом POST, длина поля 20 символов.
Строка типа xxx" or "1"="1 в поле имени дает запрос типа
PHP:
$query = 'SELECT pwd, status FROM ' . TABLE_PREFIX . 'users WHERE name="xxx" or "1"="1"';Есть ли еще варианты обхода такой конструкции?
ps: пытаюсь защить авторизацию... может чего не так делаю?
