Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[PHP][MYSQL]Filtrowanie danych, Czy dobrze użyte?

ArekJ Zobacz profil	17.09.2008, 15:08:55 Post #1
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	Witam, mam pytanie, czy dobrze zastosowałem filtrowanie danych w tym skrypcie(błędów nie wywala, ale nie wiem jak sprawdzić czy filtruje). A oto kod: [PHP] pobierz, plaintext <?php els: dbConnect('xxx'); $login=htmlspecialchars($_POST['login']); $haslo=htmlspecialchars($_POST['haslo']); $email=htmlspecialchars($_POST['email']); $login=strip_tags($_POST['login']); $haslo=strip_tags($_POST['haslo']); $email=strip_tags($_POST['email']); if (!check_email($_POST['email']) \|\| $_POST['login']=='' \|\| $_POST['haslo']=='' \|\| $_POST['email']=='') { error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe błęd: \n'.'-puste pole,\n'.'-błędny e-mail.'); } $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"'; $result = mysql_query($sql); if (!$result) { error('Błąd w zapytaniu SQL'); } if (@mysql_result($result,0,0)>0) { error('Wybrany login jest zajęty. \n'. 'Proszę wpisać inny login. '); } $sql = 'INSERT INTO uzytkownik SET login = "'.$_POST['login'].'", haslo = md5("'.$_POST['haslo'].'"), email = "'.$_POST['email'].'"'; if (!mysql_query($sql)) error('Błąd w zapytaniu SQL'); echo('<HTML> <HEAD> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> <TITLE>Rejestracja zakończona</TITLE> <STYLE type=\"text/css\"> <!-- BODY, { font: 8pt; font-famil: Verdana, Arial; text-decoratio: none } --> </STYLE> </HEAD> <BODY> <P><B>Rejestracja zakończona pomyślnie!</B></P> <P>Logi: <B>'.$_POST['login'].'</B><BR> Hasło: <B>'.$_POST['haslo'].'</B></P> '); endif ?> [PHP] pobierz, plaintext I mam jeszcze pytanie o inne metody zabezpieczania i o wskazówki jak je zastosować (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Start new topic

Odpowiedzi (1 - 10)

b4x Zobacz profil	17.09.2008, 15:31:10 Post #2
Grupa: Zarejestrowani Postów: 658 Pomógł: 95 Dołączył: 20.12.2005 Skąd: N54,35° E18,63° (Gdańsk) Ostrzeżenie: (0%)	Najprościej: mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual ;] czyli np. [PHP] pobierz, plaintext <?php mysql_query ('SELECT * FROM `users` WHERE `login` = "'.mysql_real_escape_string($logn).'"'); ?> [PHP] pobierz, plaintext htmlspecialchars + strip_tags - nie zabezpieczy Cię przed SQL Inject (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) bo spróbuj np. do zapytania zarzucić: ' - dlatego polecam mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Po 2 gie, jak definiujesz zmienne np: [PHP] pobierz, plaintext <?php $login=htmlspecialchars($_POST['login']); // o to mi chodzi. $sql = 'SELECT COUNT() FROM uzytkownik WHERE login = "'.$_POST['login'].'"'; ?> [PHP] pobierz, plaintext To spójrz - dane nieprzefiltrowane się dostaną, bo tylko zmienna $login* jest filtrowana. A Ty w zapytaniu do mysql odnosisz się do danych przesłanych w formularzu. Poprawnie powinno wyglądać: [PHP] pobierz, plaintext <?php $sql = 'SELECT COUNT() FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P ?> [PHP] pobierz, plaintext Ten post edytował b4x* 17.09.2008, 15:33:44

ArekJ Zobacz profil	17.09.2008, 15:46:56 Post #3
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	A czemu tutaj: [PHP] pobierz, plaintext <?php $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P ?> [PHP] pobierz, plaintext jest filtrowana całość? Przecieź w skrypcie występuje tylko zmienna $login? I po drugie rozumiem, źe mam usunąć: [PHP] pobierz, plaintext <?php $login=htmlspecialchars($_POST['login']); $haslo=htmlspecialchars($_POST['haslo']); $email=htmlspecialchars($_POST['email']); $login=strip_tags($_POST['login']); $haslo=strip_tags($_POST['haslo']); $email=strip_tags($_POST['email']); ?> [PHP] pobierz, plaintext bo to nie zapewnia mi bezpieczeństwa?

b4x Zobacz profil	17.09.2008, 15:53:00 Post #4
Grupa: Zarejestrowani Postów: 658 Pomógł: 95 Dołączył: 20.12.2005 Skąd: N54,35° E18,63° (Gdańsk) Ostrzeżenie: (0%)	Ja bym to tak zrobił [PHP] pobierz, plaintext <?php $login = htmlspecialchars(strip_tags($_POST['login'])); $haslo = md5($_POST['haslo']); $email = htmlspecialchars(strip_tags($_POST['email'])); if (!check_email($_POST['email']) \|\| $_POST['login']=='' \|\| $_POST['haslo']=='' \|\| $_POST['email']=='') { error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#281: \n'.'-puste pole,\n'.'-błędny e-mail.'); } $sql = 'SELECT COUNT() FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; $result = mysql_query($sql); if (!$result) { error('Błąd w zapytaniu SQL'); } if (@mysql_result($result,0,0)>0) { error('Wybrany login jest zajęty. \n'. 'Proszę wpisać inny login. '); } $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"'; if (!mysql_query($sql)) error('Błąd w zapytaniu SQL'); echo('<HTML> <HEAD> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> <TITLE>Rejestracja zakończona</TITLE> <STYLE type=\"text/css\"> <!-- BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none } --> </STYLE> </HEAD> <BODY> <P><B>Rejestracja zakończona pomyślnie!</B></P> <P>Lo: <B>'.$login.'</B><BR> Hasło: <B>'.$haslo.'</B></P> '); ?> [PHP] pobierz, plaintext ;] Ten post edytował b4x* 17.09.2008, 15:55:36

ArekJ Zobacz profil	17.09.2008, 15:57:46 Post #5
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	Dobra (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) jak wrócę do domu to sprawdze czy działa, ale mam nadzieję, źe tak. I jeszcze pytanie o inne formy zabezpieczania? I czy jak będę robił skrypt logoania to teź muszę zabezpieczać w ten sposób: [PHP] pobierz, plaintext <?php $login = htmlspecialchars(strip_tags($_POST['login'])); ?> [PHP] pobierz, plaintext

b4x Zobacz profil	17.09.2008, 16:01:44 Post #6
Grupa: Zarejestrowani Postów: 658 Pomógł: 95 Dołączył: 20.12.2005 Skąd: N54,35° E18,63° (Gdańsk) Ostrzeżenie: (0%)	"I jeszcze pytanie o inne formy zabezpieczania?" - to z zupełnością powinno wystarczyć (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Możesz np. napisać sobie funkcję która ułatwi Ci życie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) [PHP] pobierz, plaintext <?php function filtruj($string) { return htmlspecialchars(strip_tags($string)); } ?> [PHP] pobierz, plaintext Wtedy np. wystarczyłoby : [PHP] pobierz, plaintext <?php $login = filtruj($_POST['login']); ?> [PHP] pobierz, plaintext Ten post edytował b4x 17.09.2008, 16:02:12

ArekJ Zobacz profil	17.09.2008, 16:02:40 Post #7
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	I to samo muszę zastosować do maila?

b4x Zobacz profil	17.09.2008, 16:05:20 Post #8
Grupa: Zarejestrowani Postów: 658 Pomógł: 95 Dołączył: 20.12.2005 Skąd: N54,35° E18,63° (Gdańsk) Ostrzeżenie: (0%)	Jeśli chcesz, to możesz. Ale widzę że do maila masz jakąś funkcję odpowiedzialną za jego sprawdzanie. (Czy jest poprawny.) Czyli zapewne ta funkcja nie przyjmuje znaków specjalnych typu ^'% itd. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Więc wtedy maila nie musisz. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php Poczytaj, może to Ci bardziej wszystko naświetli (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

ArekJ Zobacz profil	17.09.2008, 20:09:50 Post #9
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	A hasło też mam filtrować? P.S. A z tej strony co podałeś to się dowiedziałem jakie funkcje odpowiadają za filtrowanie (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) EDIT: Nie działa :/ Gdy daje [PHP] pobierz, plaintext <?php $login = htmlspecialchars(strip_tags($_POST['login'])); $haslo = md5($_POST['haslo']); $email = htmlspecialchars(strip_tags($_POST['email'])); if (!check_email($_POST['email']) \|\| $_POST['login']=='' \|\| $_POST['haslo']=='' \|\| $_POST['email']=='') { error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#28: \n'.'-puste pole,\n'.'-błędny e-mail.'); } $sql = 'SELECT COUNT() FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; $result = mysql_query($sql); if (!$result) { error('Błąd w zapytaniu SQL'); } if (@mysql_result($result,0,0)>0) { error('Wybrany login jest zajęty. \n'. 'Proszę wpisać inny login. '); } $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"'; if (!mysql_query($sql)) error('Błąd w zapytaniu SQL'); echo('<HTML> <HEAD> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> <TITLE>Rejestracja zakończona</TITLE> <STYLE type=\"text/css\"> <!-- BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none } --> </STYLE> </HEAD> <BODY> <P><B>Rejestracja zakończona pomyślnie!</B></P> <P>Lo: <B>'.$login.'</B><BR> Hasło: <B>'.$haslo.'</B></P> '); ?> [PHP] pobierz, plaintext To wywala: Kod Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94 Jakieś pomysły? Ten post edytował ArekJ* 17.09.2008, 20:48:09

morwo Zobacz profil	18.09.2008, 13:51:39 Post #10
Grupa: Zarejestrowani Postów: 13 Pomógł: 1 Dołączył: 31.05.2006 Ostrzeżenie: (0%)	Przydałby się jeszcze kurs czytania angielskiego ze zrozumieniem (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Cytat(ArekJ @ 17.09.2008, 21:09:50 ) Kod Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94 Pozwolicie, że przetłumacze "po swojemu", bo angielski mój nie najlepszy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Cytat Kod Błąd krytyczny: Wywołano niezdefiniowaną funkcje mysql_real_escape() w /home/accounts_a/arekj/public_html/rejestracja.php w linii 94 Czaisz? Jesli sam nie napisałeś, to funkcja mysql_real_escape() nie istnieje. Koledzy wyżej pisali o funkcji mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual, którą kilka razy zastosowałeś w wyżej wymienionym skrypcie. Poza tym przeważnie używam htmlentities()" title="Zobacz w manualu PHP" target="_manual z odpowiednimi parametrami i z tego, co się orientuje równie dobrze mnie zabezpieczy przed SQLInjection, jak mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował morwo 18.09.2008, 13:52:22

ArekJ Zobacz profil	18.09.2008, 19:00:47 Post #11
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	Dzięki, na tym poziomie to znam angielski, ale nie zauważyłem, że funkcja powinna się inaczej nazywać (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) Proszę o zamknięcie tematu (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 23.08.2025 - 17:39

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn