2

認証する前に新しいユーザーが使用できないようにしたい予約済みのユーザー名のリストがあります。認証は、Web サイトにシークレット コードを配置することで行われます。次に、Web サイトでコードを確認し、続行できるようにします。コードを認証する方法はすでに書いていますが...

最初: functions_user.php を読む ユーザーのリストを見て、最後のユーザー名チェックがどこにあるのかわかりません。私はファイルのいたるところにいましたが、データベースに対してユーザー名を検証する場所さえわかりません。(これは第二部よりも重要です)

2番目:認証キーをどこかに追加する必要があります(リストには約150個の名前しかないので、おそらくフラットファイルに書き込むことができます)-それについて何か提案はありますか?

アップデート

メソッドを無視して、user_addそこに到達する前にチェックを行うことができると思います-試してみます。

実際、もう少し考えた後、すでに秘密鍵を使用してユーザーを作成する必要があると思います。誰かがユーザーの1人でログインしようとすると、認証するための鍵を与えてそこから...

4

1 に答える 1

1

エラー、これは本当に混乱しています。

ブラックリストを使用してコード インジェクションを防止することは、多くの時間と計算コストの無駄です。問題を修正する正しい方法は、それが書かれているメディアに従ってコンテンツをエスケープすることです

本当に信頼できない市販のコードを使用している場合は、次のようなことを試してください...

function is_nasty($str)
{
   if (htmlentities($str)!==$str) {
       return true;
   }
   if (mysql_escape_string($str)!==$str) {
       return true;
   }
   // any more checks you want to run....
   return false;
}
于 2011-02-10T13:36:41.820 に答える