Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[MySQL][PHP] Czy ten kod jest bezpieczny?

Michal2451 Zobacz profil	3.01.2011, 20:37:03 Post #1
Grupa: Zarejestrowani Postów: 65 Pomógł: 0 Dołączył: 4.12.2010 Ostrzeżenie: (0%)	Cześć! Zrobiłem stronę z logowaniem, rejestracją i... rangami/uprawnieniami. Przy każdym użytkowniku jest kolumna ranga. 1 = user 5 = mod 9 = admin I teraz mam np. lewe menu: [PHP] pobierz, plaintext <?php include('config1.php'); if( ("$t[1]") == 1) { echo ' <div class="box"> <h3>Panel</h3> <ul> <li><a href="#">Dodaj</a></li> <li><a href="#">Usuń</a></li> <li><a href="#">Zmień</a></li> <li><a href="#">Mój profil</a></li> <li><a href="logi.php">Logs/Newsy</a></li> </ul> </div>'; } elseif( ("$t[1]") == 9) { echo ' <div class="box"> <h3>Panel</h3> <ul> <li><a href="login.php">Logowanie</a></li> <li><a href="register.php">Rejestracja</a></li> <li><a href="logi.php">Logs/Newsy</a></li> <li><a href="#">Dodaj</a></li> <li><a href="#">Usuń</a></li> <li><a href="#">Zmień</a></li> <li><a href="#">Mój profil</a></li> </ul> </div>'; echo ' <div class="box"> <h3>Użytkownicy</h3> <ul> <li><a href="users.php">Zarejestrowani</a></li> <li><a href="znajdz.php">ZnajdĽ</a></li> <li><a href="usun.php">Usuń</a></li> <li><a href="edytuj.php">Ranga</a></li> </ul> </div>'; } elseif( ("$t[1]") == 5) { echo ' <div class="box"> <h3>Panel</h3> <ul> <li><a href="#">Strefa moderatora</a></li> <li><a href="#">Dodaj</a></li> <li><a href="#">Usuń</a></li> <li><a href="#">Zmień</a></li> <li><a href="#">Mój profil</a></li> <li><a href="logi.php">Logs/Newsy</a></li> </ul> </div>'; } else { echo ' <div class="box"> <h3>Panel</h3> <ul> <li><a href="login.php">Logowanie</a></li> <li><a href="register.php">Rejestracja</a></li> <li><a href="logi.php">Logs/Newsy</a></li> </ul> </div>'; }; ?> [PHP] pobierz, plaintext I plik config1.php: [PHP] pobierz, plaintext <?php include('login.php'); $sql_conn = mysql_connect('xxx', 'xxx', 'xxx') or die('Błąd podczas łączenia z bazą danych'); mysql_select_db('xxx'); $zapytanie = "SELECT `login`,`ranga` FROM `users` WHERE `login`='$nazwa'"; $idzapytania = mysql_query($zapytanie); $t = mysql_fetch_row($idzapytania); ?> [PHP] pobierz, plaintext I kod zakładek dla odpowiednich osób: [PHP] pobierz, plaintext <?php include('config1.php'); if( ("$t[1]") == 9) { Treść dla administratora } else { echo '<center><BR><BR><BR>To nie miejsce dla ciebie...'; echo '<meta http-equiv="refresh" content="1; url=index.php">'; }; ?> [PHP] pobierz, plaintext Czy to jest bezpieczne? Tak żeby jakiś zwykły user nie mógł zobaczyć zakładek dla administratora oraz do nich wejść. ps. ja jestem autorem kodu, żeby nie było, że kopiuję od kogoś (IMG:style_emoticons/default/winksmiley.jpg) Ten post edytował Michal2451 3.01.2011, 20:38:19

cojack Zobacz profil	3.01.2011, 20:39:07 Post #2
Grupa: Zarejestrowani Postów: 898 Pomógł: 80 Dołączył: 31.05.2008 Ostrzeżenie: (20%)	Podaj adres strony, to Ci zaraz pokaże jakie to jest bezpieczne.

daros17 Zobacz profil	3.01.2011, 20:45:37 Post #3
Grupa: Zarejestrowani Postów: 233 Pomógł: 27 Dołączył: 27.08.2007 Ostrzeżenie: (0%)	Poczytaj o sql injection

Michal2451 Zobacz profil	3.01.2011, 20:45:45 Post #4
Grupa: Zarejestrowani Postów: 65 Pomógł: 0 Dołączył: 4.12.2010 Ostrzeżenie: (0%)	Niestety nie wdrożyłem jeszcze tego (IMG:style_emoticons/default/tongue.gif) Ale jeśli to był sarkazm to mnie oświeć co chciałeś zrobić (IMG:style_emoticons/default/happy.gif) Albo co byś robił, gdybyś chciał udowodnić, że to jest niebezpieczne (IMG:style_emoticons/default/tongue.gif)

cojack Zobacz profil	3.01.2011, 20:48:54 Post #5
Grupa: Zarejestrowani Postów: 898 Pomógł: 80 Dołączył: 31.05.2008 Ostrzeżenie: (20%)	$zapytanie = "SELECT `login`,`ranga` FROM `users` WHERE `login`='$nazwa'"; i w polu $nazwa byłoby = "; 'DROP TABLE `login`;--": amen.

wookieb Zobacz profil	3.01.2011, 20:49:58 Post #6
Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk	Cytat(Michal2451 @ 3.01.2011, 20:45:45 ) Niestety nie wdrożyłem jeszcze tego (IMG:style_emoticons/default/tongue.gif) To po co się pytasz skoro nie znasz jakichkolwiek podstaw bezpieczeństwa? http://forum.php.pl/index.php?showtopic=30...stwo+skrypt%F3w I jeszcze jeszcze parę tematów o SQL injection na forum.

Michal2451 Zobacz profil	3.01.2011, 20:53:44 Post #7
Grupa: Zarejestrowani Postów: 65 Pomógł: 0 Dołączył: 4.12.2010 Ostrzeżenie: (0%)	Kto pyta nie błądzi, a fakt, że jestem początkujący wyjaśnia całą sprawę (IMG:style_emoticons/default/winksmiley.jpg) A ten serwis jest do celów edukacyjnych.

Mephistofeles Zobacz profil	3.01.2011, 20:55:34 Post #8
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%)	PDO + prepared statements, tak na przyszłość. Do tego wywal te echa, zamknij tag PHP i normalnie pisz HTML.

wookieb Zobacz profil	3.01.2011, 20:58:20 Post #9
Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk	Cytat(Michal2451 @ 3.01.2011, 20:53:44 ) A ten serwis jest do celów edukacyjnych. Edukacyjny nie znaczy, że za każdym razem będziemy powtarzać podstawy, które są na forum opisane.

Michal2451 Zobacz profil	3.01.2011, 21:08:18 Post #10
Grupa: Zarejestrowani Postów: 65 Pomógł: 0 Dołączył: 4.12.2010 Ostrzeżenie: (0%)	Napisałem to "tak tylko", żeby było wiadome, że się uczę. Nie było to ważne i tym bardziej nie było warte twojej odpowiedzi.

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 15.09.2025 - 21:41

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn