- 1
- 2
- 3
- 4
- 5
$login = $_POST["login"];
if(!$login)$login = $_GET["login"];
$password = $_POST["password"];
if(!$password)$password = $_GET["password"];-
PHP / Говнокод #400
+49.1
Довелось недавно править один сайт...
Так выглядит фрагмент скрипта авторизации пользователя... ;DЗапостил:
guest,
15 Января 2009
Follow us!
о май год, авторизацию гетом передавать это многотысячный песдец.
Да в принципе это нормально, но можно было использовать $_REQUEST
да и isset() пригодился бы...
Бля сцуко наивные люди
как так можно ... ормяни
Сначало если из поста не че не взял значит че нить в джете появится =)
да еще и джетом авторизовываться то норм но только если такой код
то представляю что там дальше под авторизацией ...
id сессии 1 и все
[quote=747Nook]
если такой код
то представляю что там дальше под авторизацией ...
[/quote]
а дальше вообще зло!...
mysql_query("select count(id_author) from AUTHORS where author_login='$login' and author_passwd='$password'");
...ну и тому потобное :D
а что тут не так? или вы про возможную sql-inj?
[quote=страйкер]или вы про возможную sql-inj?[/quote]
да
Если сразу после тех строк идет
значит, что в базе пароль хранится в не шифрованном виде ))
Ну и хули что в незашифрованом? А как тогда высылать воостановление пароля? Шифрацию по моему мнению надо применять там где она действительно нужна.
Что значит как высылать восстановление пароля?
Надо высылать не сам пароль, а ссылку на страницу его сброса и переустановки. А высылать старый пароль на почту имхо дурной тон.