ANTICHAT - Показать сообщение отдельно - Ваши вопросы по уязвимостям.

Цитата:

Сообщение от Melfis

Mr.aids,
1. нельзя делать апдейт в подзапросе.
2. md5(md5(salt(pass))) - не так, а md5(md5($pass . $salt)), где $salt = 9 random symbols from 'abchefghjkmnpqrstuvwxyz0123456789'.
3. Хз как в дле, но судя по коду, там должна быть отдельная колонка с солью в базе.

да я туплю опять жестоко. код который я привёл с md5 md5 salt это генерация нового пароля. а проверка и регистрация обычным способом идёт

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]safesql[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$user_arr[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]] ) );[/COLOR][COLOR="#0000BB"]$email[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]safesql[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$user_arr[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]] ) );[/COLOR][COLOR="#0000BB"]$pass[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]md5[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$user_arr[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]] );        if([/COLOR][COLOR="#0000BB"]md5[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]sha1[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$email[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]DBHOST[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]DBNAME[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$config[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'key'[/COLOR][COLOR="#007700"]] ) ) !=[/COLOR][COLOR="#0000BB"]$user_arr[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]3[/COLOR][COLOR="#007700"]] ) die([/COLOR][COLOR="#DD0000"]'ID not valid!'[/COLOR][COLOR="#007700"]);        if([/COLOR][COLOR="#0000BB"]preg_match[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"/[\||\'|\|\[|\]|\"|\!|\?|\$|\@|\/|\\\|\&\~\*\{\+]/"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"]) ) die([/COLOR][COLOR="#DD0000"]'USER not valid!'[/COLOR][COLOR="#007700"]);[/COLOR][COLOR="#0000BB"]$row[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]super_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]USERPREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_users WHERE name = '[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#DD0000"]' AND password='[/COLOR][COLOR="#0000BB"]$pass[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]

md5 без соли. А можно как то сделать запрос что бы сделать апдейт?