Può essere bypassato con SQL Injection?

-1

Questo è il mio codice php:

$uname = $_POST['username'];
$pwd = md5($_POST['password']);
$sql = "SELECT * FROM 'user' WHERE username = '$uname' AND password = '$pwd'"; 

Il mio amico mi ha dato questo codice ma mi piacerebbe sapere se questo è sicuro.

    
posta Mj Magtalas 16.03.2018 - 03:28
fonte

1 risposta

1

È ridicolmente cattivo.

Un nome utente di steve’ or password=‘ ti fa essere Steve.

E dal momento che sta salvando le password come un semplice MD5, consente di scoppiare rapidamente con John the Ripper e gli amici se il database è trapelato.

    
risposta data 16.03.2018 - 03:41
fonte

Leggi altre domande sui tag