我編輯別人的PHP,而且他們有他們直接在代碼中使用條件後數據的「認證」系統,看起來像這樣:
if($database_password == $_POST['password']){
//access granted
}else{
//access denied
}
這看起來不正確,首先,密碼是以明文存儲的,但我想知道$ _POST ['password']部分是否安全。我不知道這是否可行,但是不能只是寫''OR 1 == 1或其他東西來訪問網站?我在問,因爲我必須花費大量時間來說服他們,我需要引入密碼規則並強制每個內部網用戶更改密碼以遵循新規則,特別是當我的任務不是應該涉及編輯這部分代碼或數據庫。
謝謝!
請注意,這不是一個嚴格的比較!看到我的文章 – Terence
這在這個例子中沒有任何區別。 – str