SQL injection, hashowanie haseł

pytanie zadane 30 listopada 2018 w PHP przez marcolo Obywatel (1,530 p.)

Właściwie to mam dwa pytania, pierwsze to jak radzicie sobie z "SQL injection".

Do tej pory robiłem coś takiego:

$_POST['login'] = strip_tags($_POST['login']);
	
$_POST['login'] = mysqli_real_escape_string($con, $_POST['login']);

Czy to wystarczy, czy jest lepszy sposób?

Drugie pytanie to w jaki sposób hashujecie hasła?

Ja używam:

$pass = hash("sha512", $salt.$pw);

a zastanawiam się nad używaniem

password_hash($hasło, PASSWORD_BCRYPT);

1 odpowiedź

odpowiedź 30 listopada 2018 przez Arkadiusz Waluk Ekspert (287,950 p.)
wybrane 30 listopada 2018 przez marcolo

Najlepsza

Jeśli chodzi o SQL injection to należy bindować wartości, wtedy zapytanie i wartości są do bazy wysyłane osobno, więc nie ma szansy na żadne wstrzykiwanie.

Do haseł należy używać password_hash() i password_verify(), algorytmem może być bcrypt choć od PHP 7.2 jest dostępny też Argon2.

komentarz 30 listopada 2018 przez marcolo Obywatel (1,530 p.)

Przy bindowaniu mamy szybkie bindowanie, gdzie zmienne podajemy w metodzie "execute()" lub możemy używać bindValue()/bindParam.

Jak przeczytałem sobie o tym, to jakoś bardziej spodobała mi się wersja z execute(), ale autor nie pisał o różnicach, jest ona w jakiś sposób gorsza od bindValue()/bindParam?

komentarz 30 listopada 2018 przez Arkadiusz Waluk Ekspert (287,950 p.)

Mówimy o mysqli? Bo z niego korzystasz w pokazanym fragmencie, a wydaje mi się, że w mysqli dostępne jest tylko bind_param() i execute() nieprzyjmujące parametrów. bindValue(), bindParam() i execute() z możliwością podania parametrów jest w PDO.

1	komentarz 30 listopada 2018 przez marcolo Obywatel (1,530 p.) Ok, dzięki, tego nie doczytałem się, tak mysqli, choć cały czas myślę o pójściu w stronę PDO, a ostatecznie i tak kończę z mysqli :D