Thursday, February 02, 2006

Still _!secure_

Ternyata codingan dibawah ini masih ga bagus :D

----BOF------

$username = $_POST[username];
$password = sha1($_POST[password]);

$select_query = "SELECT * FROM authen WHERE username='$username' AND password='$password'";
$select = mysql_query($select_query);
$select_num = mysql_num_rows($select);

if($select_num <= 0)
{
echo "Wrong username or password";
}
else
{
echo "Logged in";
}

----EOF------

script autentikasi diatas ternyata ga case sensitive tentunya untuk usernamenya, jadi buat ngakalinnya kita butuh satu field lagi buat hasil hashingnya username, jadi pas di cocokin ke databasenya kita jangan nyocokin ke field username asli tapi ke field hashing username, tentunya variable username hasil postnya harus di hashing-in dulu, biar cocok :)

2 comments:

Anonymous said...

Yat, emang gak case sensitive?
bukannya tergantung environment lo apa? Setahu gw klo pake win$ emang case insensitive tapi klo pake *nix case sensitive deh... Tapi gak tau juga mboten ngertos and mboten strong.. Wakakaka.....

hdytsgt said...

iya beh yang ada dipikiran gw juga itu, apa emang dari mysqlnya atau dari platfrom nya, lo aja ga ngarti beh apalagi gw :D