r3791 authenticate_admin(): use prepared query
authorDenis Ovsienko <infrastation@yandex.ru>
Thu, 10 Jun 2010 13:22:13 +0000 (13:22 +0000)
committerDenis Ovsienko <infrastation@yandex.ru>
Thu, 10 Jun 2010 13:22:13 +0000 (13:22 +0000)
upgrade.php

index 44c2740b24c2c79f4777b71342bb606459fdbdc1..4d621e70b19ac9821597e89b10544ebbd247658e 100644 (file)
@@ -813,11 +813,10 @@ catch (PDOException $e)
 function authenticate_admin ($username, $password)
 {
        global $dbxlink;
-       $hash = sha1 ($password);
-       $query = "select count(*) from UserAccount where user_id = 1 and user_name = '${username}' and user_password_hash = '${hash}'";
-       if (($result = $dbxlink->query ($query)) == NULL)
+       $prepared = $dbxlink->prepare ('SELECT COUNT(*) FROM UserAccount WHERE user_id=1 AND user_name=? AND user_password_hash=?');
+       if (!$prepared->execute (array ($username, sha1 ($password))))
                die ('SQL query failed in ' . __FUNCTION__);
-       $rows = $result->fetchAll (PDO::FETCH_NUM);
+       $rows = $prepared->fetchAll (PDO::FETCH_NUM);
        return $rows[0][0] == 1;
 }