Biztonság belépés
2013-04-14T20:36:41+02:00
2013-04-30T22:51:50+02:00
2022-07-19T02:07:44+02:00
  • A mysql és a mysqli között azért nagyobb a különbség, mint az i betű hozzáillesztése. Egyébként annó ugyanezeket írták a register_globals beállítással kapcsolatban is, mégse ártott meg a php népszerűségének a kiszedése, ahogy a mysql kiterjesztésé sem fog neki megártani. Ha a meglévő kódot nem piszkálják, akkor php verzióváltás sem szükséges. De új programot 2013-ban már nem feltétlenül kéne mysql kiterjesztésre alapozni, kapásból pdo-ra vagy mysqli-re vagy egyéb hasonló megoldásra kell átállni és akkor nem lesz gond, ha kiszedik a mysql kiterjesztést. Ezért volt teljesen helyénvaló frankdávid javaslata és ezért volt nem túl szerencsés az ő ledorongolása mindezért.
    Mutasd a teljes hozzászólást!
  • Mysqli_ esetében részemről nem néztem meg, hogy egyébként függvény nevek, paraméterezéseik, kimenetük, feldolgozásuk minden másban megegyeznek-e, és csak +1 "i" betűről lenne szó, amit teljesen agyatlanul egy szöveges processzor végig fésül az egész projecten és kész lenne az átállás. Ennyire nem ismerem a kettőt. Ha erről van szó, lehet, hogy tényleg ki lesz szedve a mysql_.

    Millió soros mákos tészták is léteznek, amikben html kellős közepén egy php részlet mysql_ kimenetét natúron belenyomja a kimenetbe stringként. Soha napján lesz az újraírva. Pláne éppen illusztrisabb helyeken vannak hasonló gányolások elkövetve. Még hogy oop meg a többi, valószínű. Kicsi egyszemélyes vállalkozások talán normálisan csinálnak dolgokat, de senki más, és nem ők az igazán kemény jelenlét a piacon. A php net projectben az a halom egomán önelégült pózer ezt pontosan tudja. Ha a mysql_-t valaha is kiszedik, és nem a fentebbi nagyon egyszerű alternatíva felkínálásának megléte mellett teszik meg, csúnyát fog zuhanni a népszerűségük.

    Szóval tényleg ki fogják szedni valaha is?

    A MySQL-nek milyen bővítései vannak, amik normálisak is, és hibátlan stabilitással működnek? A vasat alá lehet rakni, és mégis csak ingyen van, meg a natúr query-k is lefutnak (indexek hatékonysága persze olyan, amilyen..), de az már stabil így is. Azon túl? Mert én bizony bármit is kipróbáltam alatta, olyan halom szőnyeg alá söpört szemétbe ütköztem, hogy az életkedvem ment el tőle. Ne lenne az ms sql meg az oracle eszetlenül drága, tuti áttérnék.
    Mutasd a teljes hozzászólást!
  • Ha hosszabb távon mysql-lel akarsz csak dolgozni, akkor ne PDO-t használj, hanem mysqli-t a db eléréséhez. Az átállás is könnyebb lesz mysql kiterjesztésről mysqli-re. mysqli-t lehet procedurálisan és ooop módon is használni, szal elsőre kisebb az átállás költsége. Ugyanúgy lehet mysqli-vel is paraméteres lekérdezéseket is indítani, mint PDO-val.

    Amivel a PDO több, mint a mysqli az az, hogy más db típusokat is tudsz rajta keresztül kezelni.

    @top_sli: Ugye tudod, hogy te írtál sületlenségeket és nem frankdávid? Idézet a php.net-ről a mysql kiterjesztés dokumentációjából:
    This extension is deprecated as of PHP 5.5.0, and is not recommended for writing new code as it will be removed in the future. Instead, either the mysqli or PDO_MySQL extension should be used. See also the MySQL API Overview for further help while choosing a MySQL API.


    A mysql kiterjesztés fejlesztése a mysql v4.1-nél megállt (azáltala használt libmysql is 4.1-es), az újabb mysql-ek által nyújtott funkcióbővítéseket nem támogatja, szal kényelmetlen a használatuk. Tehát, igenis indokolt az átállás.
    Mutasd a teljes hozzászólást!
  • SELECT * FROM $tbl_name WHERE username='$username' and password='$password'

    ne tedd bele a jelszót is. lekérdezed az e-mail címet és php vel úgy kezeled hogy akarod
    Mutasd a teljes hozzászólást!
  • Leírtál pár sületlenséget, ugye tudod?

    A mysql_ függvényeknek kutya baja. Nincsen szavatosságuk, hogy 2013-ban meg kellene romlaniuk. Akár tárolt eljárásokat, akár queryket teljesen áttekinthetően össze lehet rakni stringes barkácsolással is. A php egy script nyelv, arra van kitalálva.

    Terjedni meg terjed a cseppfertőzés is, meg a hü**eség is, de ha neked az érv a dolgok kötelező voltára, felőlem tiéd lehet mind a kettő
    Mutasd a teljes hozzászólást!
  • Köszi a segítséget,délutám megpóbálom megírni!!
    Mutasd a teljes hozzászólást!
  • Mert egy elfelejtett eszképelés miatt még nem lesz 2 perc alatt törthető az oldalad.

    És mert az ember általában így ír lekérdezéseket. Ha megnézel más környezeteket(.net, java), ott is ez az elterjedett módszer sql parancsok futtatására. Arról nem is beszélve, mennyivel átláthatóbb, ha nem összeollózva van a lekérdezés, hanem a paraméterek :parameternev alakban szerepelnek a lekérdezésben, majd paraméterként hozzáadod őket, sőt így még a szükséges aposztrófokat a sztringjeidhez is automatikusan megkapod.
    Mutasd a teljes hozzászólást!
  • Igazából nem nagyon értem most ismerkedem az objektumokkal.
    paraméteres lekérdezéseket támogatja ez nekem miért jobb mint egy sima lekérdezés?
    Bocsi csak érdekel a téma azért kérdezek ennyit
    Mutasd a teljes hozzászólást!
  • A mysql felhasználó, amivel kapcsolódsz csak a szükséges jogosultságokkal rendelkezzen.
    Mutasd a teljes hozzászólást!
  • PDO támogatja a paraméteres lekérdezéseket, ami azt jelenti, hogy az adatbáziskezelő számára paraméterként adódnak át a változók, így véletlenül se futtatja le őket az sql parancs részeként.
    Mutasd a teljes hozzászólást!
  • Lehet egy kérdésem?
    ha PDO-val oldom meg a kapcsolódást és adatbázis lekérdezést akkor
    itt miért nem kell mysql_real_escape_string függvény vagy ez a PDO ennyire különleges dolog,hogy ennyi mindent tud alapvetően?
    Tudnál valamit mondani róla?
    Mutasd a teljes hozzászólást!
  • Alapjáraton PDO(ez az alaplib része), de akár kereshetsz egy ORM-et is(pl. doctrine).

    Illetve a kiíratás és az adatbázis lekérdezés két külön dolog, nem kéne egy fájlba spagettizni őket.
    Mutasd a teljes hozzászólást!
  • Szia frankdavid nem vagyok a programozásban toppon mysql_ függvény helyett mit ajánlanál?
    Mutasd a teljes hozzászólást!
  • mysql_*** függvényeket felejtsük már el 2013-ban!
    Mutasd a teljes hozzászólást!
  • Sziasztok csináltam belépés felületet ami adatbázisból leellenőrzi az adatokat és kiírja,hogy belépve,vagy hiba
    És szeretném megkérdezni,hogy az alap dolgon mit lehetne javítani a biztonság miatt?


    if (isset($_POST['submit'])) { $host = "localhost"; $username = "root"; $password = ""; $db_name = ""; $tbl_name = ""; //kapcsolódás az adatbázishoz mysql_connect($host, $username, $password) or die("csatlakozási hiba"); mysql_select_db("$db_name") or die("csatlakozási hiba"); //adarok elkérése $username = mysql_real_escape_string($_POST["username"]); $password = mysql_real_escape_string($_POST["password"]); $sql = "SELECT * FROM $tbl_name WHERE username='$username' and password='$password'"; $result = mysql_query($sql); //sorok számát vissza kérem $count = mysql_num_rows($result); if($count){ echo "<div class='message good'>Belépve</div>"; }else{ echo "<div class='message error'>Hiba</div>"; } } ?>
    Mutasd a teljes hozzászólást!
abcd