Форум PHP

Уважаемые, проверьте, пожалуйста, скрипт! Безопасно ли так писать? И правильно ли?

<? $login=$_POST['login']; $pass=$_POST['pass']; if($login=="" && $pass==""){ echo "Не введён пароль и логин"; return; } if($login==""){ echo "Не введён логин"; return; } if($pass==""){ echo "Не введёт пароль"; return; } require_once("sql.class.php"); $my = new class_sql; $my->sql_connect(); $my->sql_query="select * from autt where login='".$login."'"; $my->sql_query="select * from autt where pass='".$pass."'"; $my->sql_execute(); if (@mysql_num_rows($my->sql_res)==0)     $login2='Вы не зарегестрированы!'; else {     for ($data1=array(); $row1=mysql_fetch_assoc($my->sql_res); $data1[]=$row1);                     foreach ($data1 as $element1)     {         $login2=$element1['login'];     } } echo("Добрый день ");echo($login2); ?>

Оба ответа: нет.

<? $login=$_POST['login'];  $pass=$_POST['pass']; if(get_magic_quotes_gpc())        $pass  = stripslashes($pass); else $login = addslashes($login); $hash = md5($pass); require_once("sql.class.php"); $my = new class_sql; $my->sql_connect(); $my->sql_query="select count(login) from autt where login='$login' and pass = '$hash'"; $my->sql_execute(); if (@mysql_num_rows($my->sql_res)!=1)     $login2='Вы не зарегестрированы!'; else     $login2=echo(htmlspecialchars($_POST['login']); echo "Добрый день, $login2"; ?>

А пояснить! Почему?

1) Проверяй все данные $_POST
2) Не храни пароли в открытом виде в БД

1. я не хранил пароль в открытом виде, просто так написал, для примера!
2. Можите пояснить, что вот это такое?

if(get_magic_quotes_gpc())         $pass  = stripslashes($pass);  else $login = addslashes($login);

Выдаёт ошибку в 19 строке!

$login2=echo(htmlspecialchars($_POST['login']);

И ещё одно, как проверять все данные $_POST?

1. Наверное имелось ввиду $login2 = htmlspecialchars($_POST['login']);
2. Скобка не закрыта и сама конструкция не правильна.

И ещё одно, как проверять все данные $_POST?
По очереди каждую посыламую с формы переменную..

Можете ещё включить magic_quotes

if(get_magic_quotes_gpc())          $pass  = stripslashes($pass);  else $login = addslashes($login);

Это значит если пхп както пытается обезопасить ваш код: вырубить безопасность.
Если нет - то можно чтото там поделать для безопасности

1) И не надо =)
2) http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=19948

1. Даже если я введу не верный пароль, то авторизует.
2. Если ввести любой логин и любой пароль, всё равно авторизует.
3. А куда подевалась проверка на введён или нет пароль и логин?

[поправлено модератором]

Так его делать то? в Чём ошибка?

Пардон. Наврал слегка. Сейчас исправлю.

<?  $login=$_POST['login'];  $pass=$_POST['pass'];  if(get_magic_quotes_gpc())         $pass  = stripslashes($pass);  else $login = addslashes($login);  $hash = md5($pass);  require_once("sql.class.php");  $my = new class_sql;  $my->sql_connect();  $my->sql_query="select count(login) from autt where login='$login' and pass = '$hash'";  $my->sql_execute();  if (@mysql_result($my->sql_res,0)!=1)      $login2='Вы не зарегестрированы!';  else      $login2=echo(htmlspecialchars($_POST['login']));  echo "Добрый день, $login2";  ?>

>3. А куда подевалась проверка на введён или нет пароль и
>логин?

а зачем она нужна?

>1. я не хранил пароль в открытом виде, просто так написал,
>для примера!
>2. Можите пояснить, что вот это такое?
>>if(get_magic_quotes_gpc())
> $pass = stripslashes($pass);
>else $login = addslashes($login);


Строка логина преобразуется в литеральную константу SQL, для сравнения с полем из таблицы в БД. Путем экранирования спецсимволов. Если она еще не преобразована механизмом магических кавычек.
Если этого не сделать, в скрипте окажется дыра SQL-инъекции, не говоря уже о том, что логины содержащие некотрые символы, не будут нормально обрабатываться.

Строка пароля, наоборот, должна быть чистой - по ней вычисляется хеш. И поэтому, если
механизм магических кавычек успел её "подправить", её нужно вернуть к исходному виду.
Иначе хеш не сойдется и пароль не будет опознан.

Тоесть вы хотите сказать что когда пользователь проходит регистрацию, хостер нагло отключаеть magic_quotes
но вот когда он авторизируется.. На зло включает..

Мне все говорили, что проверку на введенияч пароля, нужно делать обязательно!

если пароль хешируется то проверка бессмысленная.

>Тоесть вы хотите сказать что когда пользователь проходит
>регистрацию, хостер нагло отключаеть magic_quotes
>но вот когда он авторизируется.. На зло включает..
Откуда такой вывод?

Не. Я решил что сказал ерунду какуюто.
Забыл что во второй раз при сверке пароль в базу не уходит

Извините, что вновь поднимаю эту тему, но код не срабатывает! Постоянно пишит, что не зарегин.!

<? $login=$_POST['login'];  $pass=$_POST['pass'];  if(get_magic_quotes_gpc())          $pass  = stripslashes($pass);  else $login = addslashes($login);  $hash = md5($pass);  require_once("sql.class.php");  $my = new class_sql;  $my->sql_connect();  $my->sql_query="select *  from autt where login='$login' and pass = '$hash'";  $my->sql_execute();  if (@mysql_result($my->sql_res,0)!=1)      $login2='Вы не зарегестрированы!';  else      $login2=htmlspecialchars($_POST['login']);  echo "Добрый день, $login2";  ?>

select count(login)

Если Вы просите строки пользователей, то проверять надо число строк в запросе.
Если Вы просите число таких строк, то проверять надо сам результат.

<? $my->sql_query="select count(login)  from autt where login='$login' and pass = '$hash'";  $my->sql_execute();  if (@mysql_result($my->sql_res,0) != 1)      $login2='Вы не зарегестрированы!' else      $login2=htmlspecialchars($_POST['login']);  ?>