28-12-2006, 19:17
|
|
|
|
חבר מתאריך: 17.05.04
הודעות: 1,454
|
|
תלמד תחביר של שאילתה ואיך לשלוף נתונים.
בכל מקרה, בתקווה שתבין מזה, עזרתי לך במקצת :
קוד PHP:
\\איפה ההתחברות?
$query = mysql_query("SELECT `user_name` FROM `userinfo` WHERE `user_name`='$_POST[userName]' AND `password`='$_POST[password]'") or die(mysql_error());
if(!mysql_num_rows($query))
die('You\'re not registered.');
echo 'הגעת לפאנל הניהול.';
עכשיו, הקוד שלך פריץ ל SQL INJECTION, בשביל למנוע זאת יש להשתמש ב mysql_real_escape_string (בלינק יש גם הסבר על SQL INJECTION) :
קוד PHP:
\\איפה ההתחברות?
$query = mysql_query("SELECT `user_name` FROM `userinfo` WHERE `user_name`='".mysql_real_escape_string($_POST[userName])."' AND `password`='".mysql_real_escape_string($_POST[password])."'") or die(mysql_error());
if(!mysql_num_rows($query))
die('You\'re not registered.');
echo 'הגעת לפאנל הניהול.';
או בדרך יותר נחמדה :
קוד PHP:
\\איפה ההתחברות?
$query = mysql_query(sprintf("SELECT `user_name` FROM `userinfo` WHERE `user_name`='%s' AND `password`='%s'", mysql_real_escape_string($_POST['userName']), mysql_real_escape_string($_POST['password']))) or die(mysql_error());
if(!mysql_num_rows($query))
die('You\'re not registered.');
echo 'הגעת לפאנל הניהול.';
_____________________________________
EVERYTHING SHOULD BE MADE AS SIMPLE AS POSSIBLE, BUT NOT ONE BIT SIMPLER
ALBERT EINSTEIN
נערך לאחרונה ע"י Rs3k בתאריך 28-12-2006 בשעה 19:19.
|
ראשי
צ'אט
מצב כלאיים
