#1080 closed дефект (fixed)
!!! Не могу аутентифицироваться!
Reported by: | alx | Owned by: | Denis_N |
---|---|---|---|
Priority: | blocker | Component: | БД изделий АДС |
Keywords: | Cc: |
Description
В r110/base изменился алгоритм аутентификации паролей пользователей.
Если раньше функции password_verify()
передавался для проверки результат выражения mysqli_real_escape_string($link, $_POST["password"])
(где $_POST["password"]
- введенный пользователем пароль), то теперь - проcто $_POST["password"]
. То есть перед проверкой введенного пароля над ним больше не выполняется преобразование mysqli_real_escape_string()
.
Это изменение вряд ли может быть случайным, так как аналогичное изменение сделано и в коде регистрации новых пользователей...
В результате описанного выше изменения алгоритма аутентификации пользователей мой пароль больше не признается системой валидным, и я не могу аутентифицироваться. Фактически, изменением r110/base меня забанили в системе!!! ЗА ЧТО??? Хорошо что существующий сеанс продолжает действовать... Вероятно, такая фигня произошла не со мной одним...
Надеюсь, что у разработчика была очень веская причина для того чтобы изменить алгоритм аутентификации, раз он пошел на то чтобы лишить часть пользователей доступа к системе. Хотелось бы эту причину узнать.
И, если такой причины нет, хотелось бы вернуть старый алгоритм аутентификации, чтобы я (и другие пользователи) снова получили возможность входить в систему со своими любимыми паролями.
Change History (3)
follow-up: 3 comment:1 by , 22 months ago
comment:3 by , 22 months ago
Replying to Denis_N:
=) Алексей, это не было задумано.
:) :) :)
Для защиты от sql-иньекций, все запросы в базе переводились на "подготавливаемые", которые отбрасывают необходимость (как я думал до "сейчас") экранирования данных,
Такой необходимости и не было никогда, ведь пароли пользователей не записываются в БД!
Приносим Вам наши глубочайшие извинения! Мы ценим каждого пользователя!
Спасибо! Буду с нетерпением ждать завершения моего случайного бана! :) :) :)
=) Алексей, это не было задумано. Извиняюсь
Для защиты от sql-иньекций, все запросы в базе переводились на "подготавливаемые", которые отбрасывают необходимость (как я думал до "сейчас") экранирования данных, поэтому функция я mysqli_real_escape_string была убрана из кода. Будет исправлено
Приносим Вам наши глубочайшие извинения! Мы ценим каждого пользователя!
С уважением, разработчик веб-интерфейса базы данных изготавливаемых изделий АДС, Неволин Д.С.