-1
1つのmysqlクエリで、ユーザ名とパスワードのどちらが間違っているかを確認したいのですが。ユーザー名またはパスワードのどちらが間違っているかを確認するにはどうすればよいですか?
シナリオ:
ユーザーがユーザー名とパスワードとクリックを提出し、私は1つが正しくないエラーメッセージを表示したいです。私はこのためのシンプルで最適化されたクエリが必要です。
A
答えて
4
一般的な経験則として、ユーザー名またはパスワードが間違っていると攻撃者に知らせないので、「ユーザー名またはパスワードが間違っています」というメッセージをユーザーに返すほうがよいと言います。
3
これは、攻撃者が有効なユーザー名を見つけられる優れた方法です。
は、あなたの質問に答えるために、私はあなたがSELECT username, password WHERE username=? OR password=?
を行い、その後、正しいものを見つけるために、指定されたユーザー名とパスワードを使用して結果を経る必要があるだろうと思います。
+0
ここでは平文のパスワードを主張していないので注意してください – Gareth
0
コード::
<?php
$con = mysql_connect("localhost","username","password");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("My_TABLE_NAME", $con);
$Username = $_POST['Username']; // get username
$Password = $_POST['Password'] ; // get pwd
$sql="SELECT Username FROM My_TABLE_NAME WHERE Username=’".$Username.”’ and Password=’”.$Password.”’”;
$r = mysql_query($sql);
if(!$r) {
$err=mysql_error();
print $err;
exit();
}
if(mysql_affected_rows()==0){
print "no such login in the system. please try again.";
exit();
}
else{
print "successfully logged into system.";
//proceed to perform website’s functionality – e.g. present information to the user
}
?>
1
$query = <<<EOL
SELECT IF(password = '$password', 1, 0)
FROM users
WHERE username='$username'
EOL;
$result = mysql_query($query)
if (mysql_numrows($result) == 0) then
echo 'Bad username';
} else {
$row = mysql_fetch_array($result);
if ($row[0] == 0) then
echo 'Bad password';
}
}
、これは$ユーザ名と$パスワードが適切にエスケープされていることを前提としていて、その$パスワードがにマッサージされた以下のPOSTメソッドを使用してHTMLフォームを使用してくださいそれをDBに保存するために使用しているハッシュ/暗号化方式に関係なく。
関連する問題
- 1. フォーム認証 - 非アクティブユーザーのユーザー名とパスワードを確認するにはどうすればいいですか?
- 2. ユーザー名またはパスワードが間違っている場合、メッセージボックスを作成するにはどうすればよいですか?
- 3. リンクファイルのファイルタイプが間違っていて、別のファイルタイプをチェックしているかどうかを確認するにはどうすればよいですか?
- 4. ユーザー名またはパスワードが間違っている場合、入力フィールドの境界を赤くするにはどうすればいいですか?
- 5. ユーザーがindex.htmlにいるかどうかを確認するにはどうすればよいですか?
- 6. google auth2.signIn()ウィンドウがユーザーによって閉じられているかどうかを確認するにはどうすればよいですか?
- 7. ユーザーがウェブサイトまたはオフラインでオンラインになっているかどうかを確認するにはどうすればよいですか?
- 8. ユーザーが匿名であるか、JavaScriptからログインしているかどうかを確認するにはどうすればよいですか?
- 9. ユーザーが投稿したドメイン名のタイプミスを確認するにはどうすればよいですか?
- 10. ユーザーがWindowsにログインした時間を確認するにはどうすればよいですか?
- 11. SET形式が間違っています。どちらが間違っていたかわからない
- 12. コントロールまたはコントロールインターフェイスがユーザーによって編集可能かどうかを確認するにはどうすればよいですか?
- 13. ポップアップページが開いているかどうかを確認するにはどうすればよいですか?
- 14. ユーザーがMacにパスワードを設定しているかどうかを確認するにはどうすればよいですか?
- 15. C#Asp.Net 2.0 - アクティブディレクトリのパスワードに対してパスワードを確認するにはどうすればよいですか?
- 16. ユーザーの現在のパスワードを確認するにはどうすればよいですか?
- 17. ネットパイプサービスがリッスンしているかどうかを確認するにはどうすればよいですか
- 18. ユーザーが特定のページにどれくらいの期間滞在したかを確認するにはどうすればよいですか?
- 19. ユーザーがGPSをオンにしているかどうかを確認/確認するにはどうすればよいですか?
- 20. 入力中にユーザー名が使用されているかどうかを確認するにはどうすればよいですか?
- 21. ログインしたら、ユーザー名がデータベースにあるかどうかを確認しようとしていますか?
- 22. PyMongoを使用してユーザーがデータベースで認証されているかどうかを確認するにはどうすればよいですか?
- 23. Facebook Connectを使用してユーザー名を確認するにはどうすればよいですか?
- 24. iOS:関数 "isEqual"のキーチェーンからユーザー名/パスワードを取得するにはどうすればよいですか?
- 25. ユーザー名が許可されているかどうかを確認するにはどうすればよいですか?
- 26. パスワードを検証し、ユーザー名が使用されていないことを確認するにはどうすればよいですか?
- 27. ユーザーがフロントページをナビゲートしていることを確認するにはどうすればよいですか?
- 28. Mailgunのメールの待ち時間を確認するにはどうすればよいですか?
- 29. ユーザーにURLが割り当てられているかどうかを確認するにはどうすればよいですか?
- 30. ユーザーがInstagram APIのアクセストークンに基づいてどの範囲になっているかを確認するにはどうすればよいですか?
何を試しましたか?あなたの質問はあまりにも広すぎ、適切に答えるのが曖昧です。 –
あなたはどちらが間違っているかを表示したくありません。ペアが間違っているかどうかを確認したい場合は、攻撃者が有効なユーザー名を簡単に見つけられるようにします。 –
私は「あなたのパスワードは正しかったが、あなたのユーザー名が間違っています」というエラーメッセージが表示されるのが好きです。 – Gareth