나는 로그인 시스템을 만들고있다. 제 친구는 PDO를 사용하는 것이 나을 것이라고 말했습니다. 그러나, 나는 PDO를 사용하는 방법을 모른다. 나는 이미 MySQL에 익숙하다. 이외의 모든 영숫자 문자가 제거되고 있기 때문에 위의 코드는 보안 위험의 유형이겠습니까PHP mysql_query 로그인 시스템 보안
$un = preg_replace('/[^a-z]/i','',$_POST['username']);
$pw = preg_replace('/[^a-z]/i','',$_POST['password']);
$result = mysql_query("SELECT `username`,`password` FROM `login` where `username` = $un && `password` = $pw") or die (mysql_error());
: 예를 들어, 여기 내 코드의 일부이다? 그렇다면 가장 좋은 방법은 무엇입니까? (PDO 또는 원시 MySQL 사용)
MySQL 주입의 일부 유형을 수행하기 위해 수행 할 수있는 작업은 무엇입니까? 어떤 보안 예방 조치를 취해야합니까? –
@Howard [mysql_real_escape_string] [string quoting과 함께]에서 좋은 점은 주입이 안된다는 확신을 가질 수 있다는 것입니다. – Shad