Injection SQL authentification
Bonjour à tous,
Je possède un site internet. J'ai une fonction de connexion pour les membres.
La voici :
Code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| function isAuthAllowed($login, $pass)
{
$query = "SELECT login
FROM membres
WHERE LOWER(login)=LOWER('".mysqlEscape($login)."')
AND pass='".crypter($pass, $login)."'
AND activated = 1
AND activationKey is NULL";
$result = mysql_query($query) or die("isAuthAllowed: ".mysql_error());
if(!$result)
return false;
return ((mysql_num_rows($result) >= 1) ? true : false);
} |
Est-ce qu'elle est correctement sécurisée ? Je ne connais pas trop les injections SQL. Il me semble que la fonction mysqlEscape permet de les éviter, mais dans le doute...
Dans la documentation PHP, il me semble que la fonction mysqlEscape_String est obsolète.
Du coup, je ne sais plus trop.
Merci d'avance pour votre aide.
Shepounet