Il mio modulo di accesso è protetto da SQL injection? [duplicare]

-1
$email = mysql_real_escape_string($_POST[email]);
$pass = mysql_real_escape_strin($_POST[pass]);
$db_query = mysql_query("SELECT * FROM users WHERE email = '$email' AND password = '$pass' AND status = '1'");

C'è qualche possibilità di ottenere il mio modulo di accesso escluso?

    
posta anotherlame 27.08.2017 - 10:59
fonte

1 risposta

2

A parte questo non funziona nemmeno (dato che mysql_real_escape_strin è probabilmente indefinito):

Per favore usa le dichiarazioni preparate. Mentre non sono attualmente in grado di produrre input che interrompa questo, le funzioni che usi sono deprecate come per documentazione php , dove si dice:

Warning

This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used. See also MySQL: choosing an API guide and related FAQ for more information. Alternatives to this function include:

  • mysqli_real_escape_string()
  • PDO::quote()
    
risposta data 27.08.2017 - 11:16
fonte

Leggi altre domande sui tag