В общем сайт написан чисто на php. С запросами вида:
function login($email,$password)
{
$mysqli=$this->dbconnect();
$email=mysqli_real_escape_string($mysqli,$email);
$password=sha1($password);
$login_sql="select * from `u_clients` where email='$email' and password='$password'";
$login_result=mysqli_query($mysqli,$login_sql) or die(mysqli_error($mysqli));
$rows=array();
while($row=mysqli_fetch_array($login_result,MYSQLI_ASSOC))
{
$rows[]=$row;
}
mysqli_close($mysqli);
return $rows;
}
Хочу объяснить что это небезопасно, и нужно переделать сайт. Но нужно доказать это клиенту. Как это сделать?
Возможно вы знаете как сделать sql injection.
Простой
Простой
