[PHP][MySQL] Bezpieczeństwo skryptu

[PHP][MySQL] Bezpieczeństwo skryptu, Prosze o pomoc

Snap Zobacz profil	18.03.2007, 14:18:42 Post #1
Grupa: Zarejestrowani Postów: 75 Pomógł: 4 Dołączył: 29.05.2005 Ostrzeżenie: (0%)	Witam. Napisałem taki skrypt. Czy on jest bezpieczny (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) [PHP] pobierz, plaintext <?php $errors = 0; if ( empty($aaa) or empty($bbb) or empty($ccc) or empty($ddd) { echo 'Wypelnij wszystkie pola<br />'; $errors = 1; } $exist_topsite = mysql_query("SELECT 1 FROM test WHERE Test22 ='".$aaa."'"); if (0 == mysql_num_rows($bbb)) { echo 'Topka o wybranej nazwie nie istnieje<br />'; $errors = 1; } if (!empty($ccc) and !preg_match('@^http://..(jpg\|gif)$@i', $ccc)) { echo 'Adres loga musi zaczynać się od http:// i logo musi być rozszerzenia jpg, gif<br />'; $errors = 1; } if (!empty($ddd) and !preg_match('@^http://..(jpg\|gif\|png)$@i', $ddd)) { echo 'Adres buttona musi zaczynać się od http:// i logo musi być rozszerzenia jpg, gif lub png<br />'; $errors = 1; } if (strpos($eee, "@") == false) { echo 'Podaj poprawny email<br />'; $errors = 1; } if (strcmp($fff, $ggg) != 0) { echo 'Zle wpisane potwierdzenie hasla<br />'; $errors = 1; } if (0 == $errors) { mysql_query("UPDATE ".$aaa."_test SET test4 = '".$iii."'"); if (empty($passwd)) { mysql_query("UPDATE test SET test1 = '".$aaa."', test3 = '".$ccc."'"); } else { mysql_query("UPDATE test SET test1 = '".$aaa."', test3 = MD5('".$ggg."'), test2 = '".$ccc."'"); } if (1 == mysql_affected_rows()) { echo "<br /><center><h2><font color=green>OK</font></h2></center><br />"; $edited = 1; } else { echo "<br /><center><h2><font color=red>Error</font></h2><br /></center>"; $edited = 0; } } else { $edited = 0; } ?> [PHP] pobierz, plaintext Prosze o pomoc w zabezpieczeniu skryptu. Na serwerze mam włączone magic quote... Ten post edytował Snap 18.03.2007, 14:21:36

szagi3891 Zobacz profil	18.03.2007, 19:25:14 Post #2
Grupa: Zarejestrowani Postów: 109 Pomógł: 9 Dołączył: 12.03.2007 Skąd: kraków/tarnobrzeg/baranów/suchorzów Ostrzeżenie: (0%)	Temat: SQL Injection Insertion sugerował bym przejrzenie tego tematu gdyż zostało tam powiedziane dużo fajnych rzeczy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ja osobiście filtruje apostrofy z każdej danej wprowadzanej do strony za pomocą skryptu i w zapytaniach zamykam je w cudzysłowy. Myślę że to powinno wystarczyć. Jak ktoś coś niecnego wrzucić jako daną wejściową to wtedy zostanie wygenerowane błędne zapytanie i będę widział tą informację w logach strony.

misiek172 Zobacz profil	18.03.2007, 23:13:41 Post #3
Grupa: Zarejestrowani Postów: 656 Pomógł: 3 Dołączył: 26.10.2005 Skąd: Częstochowa Ostrzeżenie: (0%)	musisz jeszcze dodać usuwanie TAGów taki jak JS bo wtedy ktoś sobie wpisze <script>...</script> w miejsce ... w pisze skrypt który może ci np pousuwać wszystko na serwie i takie tam

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 8.10.2025 - 06:04

Hosting zapewnia

Forum PHP.pl