Merhabalar,
Özel bir projemi yaparken SQL Injection açığını kapatmayı unuttum fakat mysqli_real_escape_string 'i kullandığımda tamam fixleniyor ama kendi hesabıma'da giriş sağlayamıyorum, az sonra ciddi anlamda kafayı sıyıracağım...
<?php
if($_POST){
$username = mysqli_real_escape_string($_POST['username']);
$sifre = mysqli_real_escape_string($_POST['sifre']);
$sql1 = "SELECT * FROM users WHERE `kullanici_adi`='".$username."' AND `sifre`=md5('$sifre')";
$result1 = $conn->query($sql1 );
if($result1->num_rows > 0){
$_SESSION['oturum'] = TRUE;
$_SESSION['kullanici_adi'] = $username;
$sql2 = "SELECT * FROM `users` WHERE `kullanici_adi`='".$username."'";
$result2 = $conn->query($sql2);
if ($result2->num_rows > 0) {
while($row1 = $result2->fetch_assoc()) {
$_SESSION['yetki'] = $row1["yetki"];
}
}
if($_SESSION['yetki'] == 1) {
git("0","admin/dagitimlar.php");
} else {
git("0","user/panel.php");
}
}else {
echo "<div class=\"alert alert-danger\" role=\"alert\">❌ || Lütfen bilgilerinizi kontrol ediniz.</div>";
}
}
?>Buradaki tam olarak sorun nedir?
Teşekkürler...
$sql1 = "SELECT * FROM users WHERE `kullanici_adi`='".$username."' AND `sifre`=".md5($sifre);
olarak değiştir ilk hatan burada, daha da olmazsa echo ile değerler gidiyormu gitmiyormu doğrumu değilmi bir bak bakalım.