Questo è il mio codice php:
$uname = $_POST['username'];
$pwd = md5($_POST['password']);
$sql = "SELECT * FROM 'user' WHERE username = '$uname' AND password = '$pwd'";
Il mio amico mi ha dato questo codice ma mi piacerebbe sapere se questo è sicuro.
È ridicolmente cattivo.
Un nome utente di steve’ or password=‘ ti fa essere Steve.
E dal momento che sta salvando le password come un semplice MD5, consente di scoppiare rapidamente con John the Ripper e gli amici se il database è trapelato.
Leggi altre domande sui tag php sql-injection authentication mysql account-security