这个 php 脚本在我的网站上使用安全吗?
Is this php script secure to use in my site?
我想用密码保护我网站上的一些内容,我正在考虑使用这个 php 脚本
您认为这是个好方法吗?
您是否知道更好的方法来完成这项任务或改进(如果需要)瘦身的方法?
从数据库加载内容的代码是:
<?php
error_reporting(0);
include("config.php");
if (!isset($_REQUEST["p"])) {
echo 'document.write("<div id=\"protected_'.intval($_REQUEST["id"]).'\">");';
echo 'document.write("<form onsubmit=\'return LoadContent(\"'.intval($_REQUEST["id"]).'\",\"protected_'.intval($_REQUEST["id"]).'\",document.getElementById(\"pass_'.intval($_REQUEST["id"]).'\").value); return false;\'\"><input type=\'password\' size=\'30\' placeholder=\'Content is protected! Enter password.\' id=\"pass_'.intval($_REQUEST["id"]).'\"></form>");';
echo 'document.write("</div>");';
} else {
$sql = "SELECT * FROM ".$SETTINGS["data_table"]." WHERE `id`='".intval($_REQUEST["id"])."' AND password='".mysql_real_escape_string($_REQUEST["p"])."'";
$sql_result = mysql_query ($sql, $connection ) or die ('request "Could not execute SQL query" '.$sql);
if (mysql_num_rows($sql_result)==1) {
$row = mysql_fetch_assoc($sql_result);
echo $row["content"];
} else {
echo 'Wrong password';
}
}
?>
正如我在评论中所说,您不应该再花时间在下载的内容上,因为它已经过时且不安全。
您可能以纯文本形式保存密码,这绝对不是一个好主意。
- 是时候步入21世纪了。
mysql_ API 已弃用,已从 PHP 7.0 中完全删除。
你最好使用准备好的语句和password_hash() or the compatibility pack。
这里有一些参考资料:
- http://php.net/manual/en/book.password.php
- http://php.net/manual/en/function.password-hash.php
- http://php.net/manual/en/pdo.prepared-statements.php
- http://php.net/manual/en/mysqli.quickstart.prepared-statements.php
N.B。使用 mysql_real_escape_string() 并不能完全保证防止可能的 SQL 注入。
请参阅以下关于该主题的问答:
- SQL injection that gets around mysql_real_escape_string()
这是从一个或 ircmaxell's 个答案中提取的一段代码,它使用 (PDO) 准备语句和 password_hash().
来自:
就用图书馆吧。严重地。它们的存在是有原因的。
- PHP 5.5+:使用
password_hash()
- PHP 5.3.7+:使用
password-compat(上面的兼容包)
- 所有其他:使用phpass
不要自己做。如果您要创建自己的盐,您做错了。您应该使用可以为您处理的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
我想用密码保护我网站上的一些内容,我正在考虑使用这个 php 脚本
您认为这是个好方法吗?
您是否知道更好的方法来完成这项任务或改进(如果需要)瘦身的方法?
从数据库加载内容的代码是:
<?php
error_reporting(0);
include("config.php");
if (!isset($_REQUEST["p"])) {
echo 'document.write("<div id=\"protected_'.intval($_REQUEST["id"]).'\">");';
echo 'document.write("<form onsubmit=\'return LoadContent(\"'.intval($_REQUEST["id"]).'\",\"protected_'.intval($_REQUEST["id"]).'\",document.getElementById(\"pass_'.intval($_REQUEST["id"]).'\").value); return false;\'\"><input type=\'password\' size=\'30\' placeholder=\'Content is protected! Enter password.\' id=\"pass_'.intval($_REQUEST["id"]).'\"></form>");';
echo 'document.write("</div>");';
} else {
$sql = "SELECT * FROM ".$SETTINGS["data_table"]." WHERE `id`='".intval($_REQUEST["id"])."' AND password='".mysql_real_escape_string($_REQUEST["p"])."'";
$sql_result = mysql_query ($sql, $connection ) or die ('request "Could not execute SQL query" '.$sql);
if (mysql_num_rows($sql_result)==1) {
$row = mysql_fetch_assoc($sql_result);
echo $row["content"];
} else {
echo 'Wrong password';
}
}
?>
正如我在评论中所说,您不应该再花时间在下载的内容上,因为它已经过时且不安全。
您可能以纯文本形式保存密码,这绝对不是一个好主意。
- 是时候步入21世纪了。
mysql_ API 已弃用,已从 PHP 7.0 中完全删除。
你最好使用准备好的语句和password_hash() or the compatibility pack。
这里有一些参考资料:
- http://php.net/manual/en/book.password.php
- http://php.net/manual/en/function.password-hash.php
- http://php.net/manual/en/pdo.prepared-statements.php
- http://php.net/manual/en/mysqli.quickstart.prepared-statements.php
N.B。使用 mysql_real_escape_string() 并不能完全保证防止可能的 SQL 注入。
请参阅以下关于该主题的问答:
- SQL injection that gets around mysql_real_escape_string()
这是从一个或 ircmaxell's 个答案中提取的一段代码,它使用 (PDO) 准备语句和 password_hash().
来自:
就用图书馆吧。严重地。它们的存在是有原因的。
- PHP 5.5+:使用
password_hash() - PHP 5.3.7+:使用
password-compat(上面的兼容包) - 所有其他:使用phpass
不要自己做。如果您要创建自己的盐,您做错了。您应该使用可以为您处理的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}