Paso 6: detrás de las escenas
Puesto que la escritura de salidas de la consulta de base de datos que se utiliza para seleccionar el usuario correcto, puede ver lo que está pasando detrás de las escenas. Cuando inicie sesión como administrador en la siguiente consulta:
se calcula para:
y luego:
y lo que se envía a la base de datos de mysql es:
Tan sólo selecciona un usuario por su dirección de correo electrónico y contraseña. En este caso, se trata de seguro espera de la validación del correo. La variable $_POST ['email'] no se asegura antes de que se adjunta a la consulta, por lo que podemos inyectar un montón de cosas mal aquí. La variable de $_POST ['password'] se pasa a md5() antes de su concated a la consulta de base de datos, así que esto es "accidentalmente seguro" ya que md5() sólo devuelve números y caracteres y nada de lo que podría chocar a nuestra consulta.
