Антон В.

Все что делает этот идиотский код - это портит входящие данные.
Я даже не знаю, стоит ли объяснять. Ведь 100500 раз уже объясняли.

Но самый, конечно ад - это ответы.

Когда начинаешь этим щеночкам объяснять, что такое инъекция, и как от нее защититься, все начинают шипеть - "да знаем уже, учоные!". Но когда доходит до дела - такой ад выдают, что становится понятно. Не учёные, а все те же обезьяны, которые вызубрили пару заклинаний, но по традиции не понимают, ни как эти заклинания работают, ни для чего они нужны.

Тем, кто предлагает отрезать кавычки от quote, надо самим что-нибудь отрезать.

И это неловкое чувство, когда 2015 году слышишь самую заветную мантру мадагаскарских гамадрилов: "mysql_real_escape_string зашышает от ынъекцый!". Стоит, блин, такой "устаревший", но еще крепкий архангел с пылающим мечом, и разит супостата прямо в темечко - вот так представляет себе принцип работы этой функции средний пользователь похапе.

Это следствие его незаменимости в прошлом.

Пых появился в нужное время в нужном месте, когда поляна была еще не занята никем.
А точнее, была занята перлом - утилитой для парсинга текста типа awk, что конечно, совсем недостаточно для написания полноценных приложений. Как следствие, перл как средство веб-разработки был задушен за пару лет, а больше никого и не было - про питон и руби никто не слышал, поделка от М$ была еще хуже. Ява просто не помещалась на тогдшних серверах. И остался один пхп. Вот он и занял всю нишу, а синонимом веб-разработки стала аббревиатура LAMP.

Собственно, с тех пор разные технологии потихоньку отъедают его долю, но пых держится за счет накопленной массы и экосистемы. И продержится ещё долго - поскольку на месте не стоит: несмотря на то, что большинство клиентов тостера пишут на том самом ПХП, который завоевывал популярность в прошлом веке (поскольку не могут осилить ничего сложнее классического говнокода), современный пых предоставляет современные средства разработки и тем, кто имеет представление о программировании.

Три ответа и куча лайков.
Что характерно, если тех же самых людей спросить, надо ли хэшировать пароли на сервере - все дружно, строем и хором ответят - НУЖНО!

При этом мысль, как совместить обе технологии, не приходит в голову ни одному из них. А они не совмещаются. Если "сервак со своей стороны так же солит пароль и считает хэш" то это значит... что пароли хранятся в открытом виде!

Это квинтессенция подобныйх сайтов. Ответ почему-то всегда даётся самый буквальный. При этом вопрос никогда не подвергается сомнению или хотя бы минимальной проверке на осмысленность. Такое ощущение, что отвечающие воспринимают вопрос как экзамен что ли? Или как челендж - ответить любой ценой, пусть даже и неимоверных извращений и ГАРАНТИРОВАННЫХ граблей в будущем. Или - как сейчас - ценой СНИЖЕНИЯ защищенности! Но зато ответ буквальный. И так не только здесь - так практически в любом ответе. Ну никогда ни у кого не твремени задуматься над вопросом - все торопятся отвечать.

Я не знаю, что с этим делать. Такой подход очень вредит как самому сайту, так и тем, кто задает вопросы. Вместо того, чтобы показать правильный подход, ему старательно, сопя и напрягая остатки извилин, помогают выстрелить себе в ногу.

Возможно, одна из причин в том, что в голове у отвечателей отсутствуют реальные знания, а стоит органчик, в который записано несколько прочитанных когда-то ответов. И один из этих ответов выстреливается сразу после прочтения заголовка - даже не углубляясь в текст вопроса. Таких "отвечателей" надо гнать поганой метлой. Пусть самоутверждаются в другом месте. Тем же, кто хочет ответить, рекомендую придерживаться правила:

Перед тем как отвечать, НАДО СНАЧАЛА ПОДУМАТЬ. Посчитать на ход вперед - "а что будет, если сделать, как я советую?" Посчитать на ход назад - "а зачем ему нужно это? Не похож ли этот вопрос на мой собственный, который я когда-то задавал от недостатка знаний?" И попробовать ответить так, чтобы РЕАЛЬНО помочь спрашивающему, а не просто выдать зазубренный ответ.

Возвращаясь к вопросу: нет, нельзя без SSL. Хэширование на сервере важнее.
Можно эмулировать SSL для передачи пароля, но куда проще воспользоваться готовым механизмом. На дворе 2014 год, все основные сайты перешли на шифрование всего трафика вообще. Пора переставать бояться SSL.