Modyfikacja warunku if coś a'la "SQL Injection".

[Gr0sz]

Witam!
Mam taki warunek sprawdzający użytkownika i hasło:
if ($_POST['login'] == $rekord['login'] && $rekord['pass'] == $_POST['pass'])
{
instrukcje
}
else
{
echo "Zła nazwa użytkownika lub hasło.";
}
Dlaczego jeżeli zmienna $_POST['pass'] ma wartość "xxx or 1==1" dalej jest wyświetlany błąd użytkownika lub hasło?
Z góry dziękuję za odpowiedzi.
Pozdrawiam!

 

[discovery44]

$_POST['login'] = "JackieChan or 1==1";
$rekord['login'] = "JackieChan";

if($_POST['login'] == $rekord['login']) echo "ok";
else echo ":(";

inaczej:

if("JackieChan or 1==1" == "JackieChan") echo "ok";
else echo ":(";

 

[Gr0sz]

Wydaję mi się, że się mylisz.
//Racja, wydaje Ci się. Najwyraźniej nie rozumiesz co napisał discovery44 - hxv
W każdym razie nie ma takiej możliwości. Na innym forum otrzymałem taką odpowiedź:
"(...) SQL Injection dotyczy zapytań do bazy danych gdzie mamy do czynienia z podstawianiem zmiennych do stringa, w normalnych warunkach PHP wszystko jest na sztywno."

Pozdrawiam!

 

[D.F.]

discovery44 napisał, że to jest porównanie dwóch różnych ciągów znaków i dlatego wyjdzie wartość fałsz.

 

[cyber_pl]

discovery44 napisał, że to jest porównanie dwóch różnych ciągów znaków i dlatego wyjdzie wartość fałsz.

tak sie nie porownuje ciagow znakowych tylko pojedyncze wartosci ( znaki badz liczby ).

http://www.phpcatalyst.com/php-compare-strings.php

 

[hxv]

cyber_pl, nie rozumiem gdzie widzisz problem - w pierwszym przykładzie podał normalny kod, w drugim dla zobrazowania podstawił za zmienne ich przykładowe wartości. Na moje oko wszystko jest OK.

 

[cyber_pl]

z zasobu ktory podalem jasno mozna wyczytyac ze:

Always remember, when comparing strings, you should use '===' operator (strict comparison) and NOT '==' operator (loose comparison).