Bonjour à tous,

Je possède un site internet. J'ai une fonction de connexion pour les membres.
La voici :

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
function isAuthAllowed($login, $pass)
{
	$query = "SELECT login
	          FROM membres
	          WHERE LOWER(login)=LOWER('".mysqlEscape($login)."')
	                AND pass='".crypter($pass, $login)."'
	                AND activated = 1
	                AND activationKey is NULL";
	$result = mysql_query($query) or die("isAuthAllowed: ".mysql_error());
 
	if(!$result)
	    return false;
	return ((mysql_num_rows($result) >= 1) ? true : false);	
}
Est-ce qu'elle est correctement sécurisée ? Je ne connais pas trop les injections SQL. Il me semble que la fonction mysqlEscape permet de les éviter, mais dans le doute...
Dans la documentation PHP, il me semble que la fonction mysqlEscape_String est obsolète.

Du coup, je ne sais plus trop.

Merci d'avance pour votre aide.
Shepounet