Sql injection mybb

Question

Robię pewien skrypt w podstronie mybb, który wykorzystuje dane z formularza, a później sprawdza czy są one w bazie.
I teraz pojawia się pytanie czy ten kod jest odporny na sql injection? 
 

$login_ss = $_POST['login'];
$pass_ss = $_POST['password'];
$login_ss = htmlentities($login_ss, ENT_QUOTES, "UTF-8");
$pass_ss = htmlentities($pass_ss, ENT_QUOTES, "UTF-8");
$pass_ss = md5($pass_ss);
$pass_ss = $db->escape_string($pass_ss);
$login_ss = $db->escape_string($login_ss);
$checkquery_ss = $db->query("
SELECT pPass, pName, pID 
FROM Tabela
WHERE pName = '$login_ss' AND pPass = '$pass_ss'
LIMIT 1
");
$checkstatus_ss = mysqli_num_rows($checkquery_ss);
echo 'Status to: ' .$checkstatus_ss;

 

Answer 1

No to tak na szybko. 

1. Nie htmlentities tylko poczytaj o filter_input. 
2. MD5 jest słabe i po co escapujesz hasło? :D  Daj userowi możliwość tworzenia silnego hasła. 

Stosujemy password_hash / verify + algo Bcrypt: Tu masz przykład jak prosto się to implementuje: https://gist.github.com/efik/4192257619d5534e5e3f

 Nie wiem jak działa mybb, skoro na mysqli to binduj (jeśli Ci się uda) parametry dla loginu.

---

Jednakże skoro to jest login to ->

1.  filtrujesz login, ( hasła nie )  
2.  bindujesz i robisz zapytanie by pobralo login i hasło dla przefiltrowanego loginu 
3.  jest user, to bierzesz przez password_verify hash pobrany z bazy i weryfikujesz z wprowadzonym przez  POST hasłem.
4. Zgadza się to robisz to co uważasz dalej za stosowne.

Comments

Co do htmlentities: polecam spojrzeć tu https://phpbestpractices.org/#sanitizing-html bo filter_var ma kilka problemów

Answer 2

Plus za to że używasz funkcji htmlentities zamiast np. stripslashes. Wg mnie w Twoje zapytanie trudno byłoby 'wstrzyknąć' SQLa i jak dla mnie jest ok. Na przyszłość rozważ PDO, nie będziesz musiał martwić się o ten rodzaj ataku.

Answer 3

@_coder_, dzięki za odpowiedź.
Mógłby ktoś jeszcze to ocenić? :)