Ошибка пароля для пароля md5

Question

Это мой код checklogin. Я не могу войти. Я думаю, что есть проблема с паролем. Я использую пароль md5. Правильно ли использовать md5, как показано ниже? Потому что счетчик $ продолжает показывать 0 не 1.

<?php 
require 'database.php'; 

//function to sanitize values from the form. Preventing the SQL injection 
function clean ($str){ 
    $str = @trim($str); 
    if (get_magic_quotes_gpc()){ 
     $str = striplashes ($str); 
    } 
    return mysql_real_escape_string($str); 
} 

//sanitize POST values 
$myusername = clean ($_POST['username']); 
$mypassword = clean (md5($_POST['password'])); 
$role = clean ($_POST['role']); 



$sql="SELECT username, password, role FROM student WHERE username='$myusername' and password='".md5($_POST['password'])."' and role = '$role'"; 
$result=mysql_query($sql); 

// Mysql_num_row is counting table row 
$count=mysql_num_rows($result); 

// If result matched $myusername and $mypassword, table row must be 1 row 
if($count==1){ 

// Register $myusername, $mypassword and redirect to file "login_success.php" 
$_SESSION ['username']; 
$_SESSION['password']; 
$_SESSION['role']; 
header("location:login_success.php"); 
} 
else { 
header ("location: login_failed.php"); 
} 
?> 

Answer 1

Я буду прямым - использование MD5 является наихудшим вариантом. Остановитесь, просто остановитесь. также:

password='".md5($_POST['password'])."' 

Изменить что

password='".$mypassword."' 

Answer 2

1. Не используйте простое хэширование, используйте засолки
2. Не используйте md5, это известно сломан.
3. Использование подготовленных операторов в запросах
4. Рассмотрим Отступ ваш код правильно
5. Избегайте угон сессий .. Кроме того, я не вижу session_start(),
6. По HTTP Standard, расположение заголовка ожидает неродственного URL
7. ...

Answer 3

Ваш ясный() - метод не имеет rewardable выгоды. зачистка и уход вообще не имеет ничего общего с санитарией. Санификация связана с конкретными делами и не может быть обобщена.

Для обеззараживания/валидации посмотреть на: http://php.net/filter

Санитарные или проверка не будет препятствовать SQL-инъекции. Вы должны ...

• Побег значение с помощью функции убегания интерфейса базы данных (PDO :: цитата(), mysqli_real_escape_string() - но не mysql_real_escape_string(), потому что это не рекомендуется)
• непосредственно привязать значения в подготовленные операторы (привязка значений в подготовленных операторах является наиболее безопасным способом, поскольку значение будет передаваться в поле базы данных, а не в конкатенации в строку запроса)

Если вы используете PHP 5.5.0 или выше, вы можете предпочесть: http://php.net/password_hash В более низких версиях PHP вы должны солировать вручную: http://php.net/passwords

По крайней мере, заголовки местоположений недействительны, если они не определены как полные квалифицированные URL-адреса.