PHP AJAX Login, ist diese Methode sicher?
Ich habe gerade PHP und mySQL gestartet und muss wissen, ob dies "sicher" ist. Die Anmeldeinformationen werden über AJAX (jQuery) in die folgende PHP-Datei übertragen.
jQuery AJAX
$("#login_form").submit(function(){
$.post("login.php",{user:$('#username').val(),pass:$('#password').val()} ,function(data)
PHP
ob_start();
mysql_connect("-", "-", "-") or die("ERROR. Could not connect to Database.");
mysql_select_db("-")or die("ERROR. Could not select Database.");
//Get Username and Password, md5 the password then protect from injection.
$pass = md5($pass);
$user = stripslashes($user);
$pass = stripslashes($pass);
$user = mysql_real_escape_string($user);
$pass = mysql_real_escape_string($pass);
//See if the Username exists.
$user_result=mysql_query("SELECT * FROM users WHERE username='$user'");
$user_count=mysql_num_rows($user_result);
if($user_count==1){
if($pass_length==0){ echo "userVALID"; }
else{
$pass_result=mysql_query("SELECT * FROM users WHERE username='$user' and password='$pass'");
$pass_count=mysql_num_rows($pass_result);
if($pass_count==1){
session_register("user");
session_register("pass");
echo "passVALID";
}
else { echo "passERROR"; }
}
}
else { echo "userERROR"; }
ob_end_flush();
Ich weiß, das ist vielleicht nicht der beste Weg, Dinge zu tun, aber ich weiß es auch so! Ich möchte nur wissen, ob es größere Sicherheitslücken gibt. Es ist eher ein Konzept für mich und deshalb verwende ich kein SSL.