PHP system logowania - błąd mysqli_real_escape_string() expects parameter 1 to be mysqli

Question

Cześć mam problem robiłem podobnie z instrukcją Pana Mirosława i mam taki problem:

 

Warning: mysqli_real_escape_string() expects parameter 1 to be mysqli, object given in C:\xampp\htdocs\projekt\panel.php on line 16

Warning: mysqli_real_escape_string() expects parameter 1 to be mysqli, object given in C:\xampp\htdocs\projekt\panel.php on line 17
Adrianlolek123string(45) "select * from admin where user='' AND pass=''" 0

http://wklej.org/id/3105823/

Powie mi ktoś co źle zrobiłbym?:) Dziękuję.

Answer 1

Patrząc na resztę kodu widać, używasz PDO, więc skąd nagle próbujesz użyć funkcji z mysqli_? To nie ma prawa zadziałać.

Zamiast tego użyj bindowania w PDO, bezpieczniejsze i lepsze.

Comments

Okej dzieki działa i mowisz ze ten sposob jest wporzadku jak na czysty php do logowania ???

---

Bindowanie jest bardzo w porządku, bo zapytanie wysyła osobno i wartości podstawia osobno, dzięki czemu atak sql injection jest niemożliwy.

Zły jest za to sposób przechowywania hasła - nie powinno się tego absolutnie robić jako czysty tekst, a jako nieczytelny dla nikogo hash - http://php.net/manual/en/function.password-hash.php i http://php.net/manual/en/function.password-verify.php

---

Okej a mam jeszcze jedno pytanie da rade zrobic domyslna wartosc value w inpucie czy nie??

Bo probowalem tak:

<input type="file" name="plik" value="C:\Users\Turqus\Desktop\aktywacja.png"/><br/>

i tak:

  <input type="file" name="plik" value="aktywacja.png"/><br/>

I nie dziala

---

Da radę, ale nie dla inputu typu file. Z tego co mi wiadomo ze względów bezpieczeństwa nie można ustawić domyślnej wartości - co by było, jakby ktoś ustawił jakiś Twój super tajny plik i wysłał automatycznie taki formularz? :P

---

Oki rozumiem :D dzieki