ดีมากเลยครับ
แต่ ... ผมขอแสดงความคิดเห็นเพิ่มเติม ถือว่า รู้ไว้ใช่ว่าก็ได้นะครับ
คือ การตรวจสอบ User/Password ด้วยการเก็บในฐานข้อมูลนั้น
ก็มีช่องโหว่นะครับ เขาเรียกกันว่า "SQL
Injection" คือ เคยโดนมาแล้ว ก็เลยเล่าให้ฟังครับ
$user=$_POST["user"];
$pasword=$_POST["password"];
แล้วสร้างตัวแปร query อย่างนี้
$query="select username from user where user='$user' and password='$password';";
ลองคิดดู จะเกิดอะไรขึ้นถ้า
$user มีค่าเป็น %' or 1=1" ;
//
$password มีค่าเป็น whatever
เมื่อแทนค่าแล้วจะได้ว่า
$query = "select username from user where
user='%' or 1=1" ; //' and
password='whatever';";
ผมก็คือ จะคืนค่า true ให้ mysql_query ครับ
เอาเป็นว่า ก่อนจะรับค่าพวกนี้มา ให้ตรวจสอบอย่างให้มีช่องว่าด้วย หรือ พวกอักษรพิเศษพวกนี้ อาจเกิดช่องโหว่ได้ครับ
มี บาง website ที่หนุ่มๆชอบ (อ๊ะ ที่ไหนเหรอ ??? )
ก็ใช้วิธีการแบบนี้เหมือนกัน แต่เข็มงวดมาก
ต้องจ่ายเงินสมัครสมาชิกก่อน แต่ทำไงได้อ่ะ อยากดู ก็เลยลอง crack ดู
ปรากฏว่าได้ ตอนนี้เขาปิดไปแล้ว อด ฮืออออออๆๆๆ