Parašė BloodKiller· 2007 Kov. 31 22:03:59
#9
riomas parašė:
Taip tai galima padaryti tikrai ir išsaugoti savo user'į, bet aš jei neklystu sumastė ir kitą planą. Iš pirmo žvilgsnio atrodo kad nieko keisto ten nėra, bet klaida tame, kad jis daro prisijungimus per $_POST prie duomenų bazės, ir tikrina duomenis iš
MySQL nenaudodamas jokios apsaugos.
Kaip tarkim:
$user_id = htmlentities($_POST['user_id']);
Tai ka mes matom ir kokias išvadas kalim daryti :o
Nu sakes... :D :D
Zinoma, man nebutina buvo rasineti _POST[]. Taciau as juo apibreziau, kad visi duomenys yra imami butent is _POST[], o ne is _GET[]. Man tereikejo parasyti $user_id nieko jam nenurodant, bet as taip nedariau, nes norejau tiksliau apibrezti duomenu emima. :D Kas dar neaisku gali buti? Gi viskas labai paprasta. :D