php - Login script fejl. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: login php

Bruger #8013 @ 04.10.12 15:05

Hej

Jeg har kigget på en artiklenLogin og Sikkerhed

Men kan simpelhen ikke få nogle af de sider til og virke,
De laver denne fejl:

PHP kode

 Webstedet kan ikke vise siden
 HTTP 500
 
 Mest sandsynlige årsager:
 •Webstedet er under vedligeholdelse.
 •Webstedet har en programmeringsfejl.

3 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 19 karma

Sorter efter stemmer Sorter efter dato

Bruger #16075 @ 04.10.12 16:47

1.223

når vi nu er igang med anbefalinger så:
lad være med at bruge det gamle mysql API (du vil få den anbefaling ved samtlige mysql_xxxxxx functioner du slår op på php.net)
brug mysqli eller PDO, det gamle mysql API er for usikkert og på vej ud
http://dk.php.net/manual/en/mysqlinfo.api.choosing.php

du kan nemt convater code fra mysql til mysqli "Procedural style", det er bare at tilføje i til alle mysql_xxxx functioner så de bliver til mysqli_xxxx, men det vil stadig have de sammen svagheder som det gamle API.
din code bliver ikke mere sikker ved at skifte API, men du har flere muligheder for at forbedre sikkerheden i mysql APIet,
mysql_real_escape_string -> mysqli_real_escape_string

den eneste function jeg har lagt mærke til er ændret er
mysql_query($sql,$conn); er blevet til mysqli_query($conn, $sql);
læg mærke til connection og sql er byttet om

hvis du vil kaste dig over Prepared Statements så kig på denne guide http://www.eksperten.dk/guide/1480

Bruger #16016 @ 04.10.12 15:57

Hej Caspar

Hvis jeg var dig ville jeg vælge denne artikel og ikke den du selv har fundet

Fra begynder til login

Lidt sikkerhed:

Når du har en besked eller andet som brugeren selv har skrevet og det så skal indsættes i en database, skal du huske mysql_real_escape_string

PHP kode

 <?php
 $navn = mysql_real_escape_string($_POST[navn]);
 $kode = mysql_real_escape_string($_POST[kode]);
 mysql_query("INSERT INTO bruger(navn,kode)VALUES('". $navn ."','". $kode ."')");
 ?>

Håber du kunne bruge det til noget

Bruger #17072 @ 04.10.12 17:22

152

Jeg er helt enig med Ronny.
Når man starter med at kode, så kan det gamle API være en god løsning(så længe det kun kører lokalt) til at lære logikken i det hele, men ja, det er usikkert og en forlystelsespark for dem der vil ødelægge din side.
Jeg har selv lige lavet springet fra MySQL-API til MySQLi-API, og må sige at i starten havde jeg lidt svært ved at lave strukturen korrekt og har søgt en del på nettet og spurgt herinde og andre steder. Men nu har jeg fået nogenlunde styr på det, og må sige at det er væsentligt lettere at arbejde med, især fordi man ikke skal huske en masse "fyld-kode" for at sikre sig mod f.eks. SQL-injection.

Men faktum er at du lige så godt kan starte i MySQLi med det samme, fordi så bliver du hurtigt vant til at bruge det og så falder du ikke tilbage i det gamle API, hvis der lige skulle være noget der er en smule svært at få til at virke i MySQLi.
Den guide, Ronny henviser til, er den samme som jeg har lært basistingene fra.

Indlæg senest redigeret d. 04.10.2012 17:24 af Bruger #17072

Login script fejl.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler