Forum PHP.pl

Forum PHP.pl > Forum > PHP

Bezpieczeństwo linków

Lethys Zobacz profil	27.11.2010, 15:29:10 Post #1
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	Witam, w swoim skrypcie posiadam linki typu: pokaz.php?gracz=lethys Po wejściu w taki link będzie pokazywać dane o graczu Lethys. Chciałbym zabezpieczyć jakoś te linki żeby nie dało się hackować przez wpisywanie czego się chce zamiast nicku gracza. Kod wyglada mniej więcej tak: [PHP] pobierz, plaintext $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); // moja próba zabezpieczenia na podawanie za dużo znaków zamiast nicku gracza if (strlen($pokaz) > 10) { print "Podany nick jest za długi!"; exit; } print "$pokaz[user]<br>życie gracza: $pokaz[hp]"; [PHP] pobierz, plaintext Dobrze jest zrobione to moje zabezpieczenie? Chciałbym zrobić warunek że nick gracza może się składać tylko z liter, bez znaków specjalnych ale nie wiem jak to zrobić.

2 Stron

1 2 >

Start new topic

Odpowiedzi (1 - 19)

flashdev Zobacz profil	27.11.2010, 15:33:59 Post #2
Grupa: Zarejestrowani Postów: 812 Pomógł: 117 Dołączył: 2.12.2008 Ostrzeżenie: (10%)	Po pierwse, to nie powinno sie przekazywać do strlen tablicy, a po wtóre skrypt nie jest zabezpieczony przed sql injection.

gargamel Zobacz profil	27.11.2010, 15:58:08 Post #3
Grupa: Zarejestrowani Postów: 278 Pomógł: 35 Dołączył: 25.06.2010 Ostrzeżenie: (0%)	W tym przypadku zabezpieczenie przed sql injection: Wyrażenia regularne lub mysql_real_escape_string ale 100% nie daje. Możesz też skorzystać z hashowania.

Lethys Zobacz profil	27.11.2010, 16:41:26 Post #4
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	Zrobię tak żeby nie można było używać niedozwolonych znaków w linkach + rewrite i przyjazne linki. Problem mam z niedozwolonymi znakami [PHP] pobierz, plaintext $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); //to jest źle ale nie mam pojęcia jak zrobić if(!ereg('^[-A-Za-z0-9_]', $pokaz)){ print "Użyto niedozwolonych znaków w linku!"; exit; }else{ print "<h2>$pokaz[user] (ID $pokaz[id])</h2>"; print "<br><br><img border=\"0\" src=\"$pokaz[avatar]\" width=\"80\" height=\"80\">"; } [PHP] pobierz, plaintext Chcę zrobić aby w linku można było używać tylko alfabetu i cyfr. Jak to przerobić żeby działało ?

flashdev Zobacz profil	27.11.2010, 16:46:01 Post #5
Grupa: Zarejestrowani Postów: 812 Pomógł: 117 Dołączył: 2.12.2008 Ostrzeżenie: (10%)	Cytat(Lethys @ 27.11.2010, 16:41:26 ) //to jest źle ale nie mam pojęcia jak zrobić [PHP] pobierz, plaintext var_dump($pokaz); [PHP] pobierz, plaintext

gargamel Zobacz profil	27.11.2010, 17:33:54 Post #6
Grupa: Zarejestrowani Postów: 278 Pomógł: 35 Dołączył: 25.06.2010 Ostrzeżenie: (0%)	Ja jakbym chciał mieć 100% pewności zrobiłbym: [SQL] pobierz, plaintext "SELECT * FROM players WHERE md5(user)='".md5($pokaz)."'" [SQL] pobierz, plaintext Podłączę się tu trochę do tematu i zapytam innych o zdanie dot. tego sposobu obrony przed SQL injection. Edit: Troche od d... strony to robisz (IMG:style_emoticons/default/winksmiley.jpg) Najpierw robisz zapytanie sql a dopiero potem jakieś instrukcje warunkowe. Jeśli ktoś Ci pohakierzy poprzez wpisanie czegoś niedobrego do linka to to coś namiesza w tabeli najpierw, a później w zależności czy $pokaz spełnia zadane kryteria bedziesz miał print "Użyto niedozwolonych znaków w linku!"; lub <h2>$pokaz[user] (ID $pokaz[id])</h2> ...... Ten post edytował gargamel 27.11.2010, 18:00:37

Lethys Zobacz profil	27.11.2010, 17:57:00 Post #7
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	Jak zrobię : [PHP] pobierz, plaintext <?php include("config.php"); $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); var_dump($pokaz); ?> [PHP] pobierz, plaintext co wyskakuje: Cytat bool(false) Nie wiem co to ma udowodnic. Ja chce zrobic tylko tak jak pisalem [PHP] pobierz, plaintext $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); //to jest źle ale nie mam pojęcia jak zrobić if(!ereg('^[-A-Za-z0-9_]', $pokaz)){ print "Użyto niedozwolonych znaków w linku!"; exit; }else{ print "<h2>$pokaz[user] (ID $pokaz[id])</h2>"; print "<br><br><img border=\"0\" src=\"$pokaz[avatar]\" width=\"80\" height=\"80\">"; } [PHP] pobierz, plaintext Link wyglada mniej wiecej tak: pokaz.php?pokaz=lethys chce zeby mi odrzucalo pokaz.php?pokaz=&%^&%.- tego typu linki. Moze ktos mi pomoc z moim kodem ?

flashdev Zobacz profil	27.11.2010, 17:59:50 Post #8
Grupa: Zarejestrowani Postów: 812 Pomógł: 117 Dołączył: 2.12.2008 Ostrzeżenie: (10%)	Cytat(Lethys @ 27.11.2010, 17:57:00 ) Nie wiem co to ma udowodnic. Cytat Return Values Returns an array of strings that corresponds to the fetched row, or FALSE if there are no more rows. The type of returned array depends on how result_type is defined. By using MYSQL_BOTH (default), you'll get an array with both associative and number indices. Using MYSQL_ASSOC, you only get associative indices (as mysql_fetch_assoc() works), using MYSQL_NUM, you only get number indices (as mysql_fetch_row() works). http://pl2.php.net/mysql_fetch_array

Lethys Zobacz profil	27.11.2010, 18:54:57 Post #9
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	Nic mi to nie mówi, nie mam aż takiej wiedzy o php. Proszę aby jedynie mi ktoś pomógł z tym małym kodem: [PHP] pobierz, plaintext $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); //Chcę żeby dostępne były tylko litery alfabetu i cyfry if(!ereg('^[-A-Za-z0-9_]', $pokaz)){ print "Użyto niedozwolonych znaków w linku!"; exit; }else{ print "<h2>$pokaz[user] (ID $pokaz[id])</h2>"; print "<br><br><img border=\"0\" src=\"$pokaz[avatar]\" width=\"80\" height=\"80\">"; } [PHP] pobierz, plaintext Link wyglada mniej wiecej tak: pokaz.php?pokaz=lethys chce zeby mi odrzucalo pokaz.php?pokaz=&%^&%.- tego typu linki. Dawanie mi linków do wyjaśnień czy też przykładów które nie wiele mają wspólnego z moim problem nic mi nie da bo nie jestem dobry w php. Zależy mi żeby działał tylko ten prosty kod.

Wicepsik Zobacz profil	27.11.2010, 19:38:13 Post #10
Grupa: Zarejestrowani Postów: 1 575 Pomógł: 299 Dołączył: 26.03.2009 Ostrzeżenie: (20%)	Tu nie trzeba mieć dużej wiedzy o php tylko trzeba logicznie myśleć. Filtracja nicku -> zapytanie do baszy -> odpowiedni komunikat

Lethys Zobacz profil	27.11.2010, 19:52:29 Post #11
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	No tyle to ja wiem ;D tylko nie wiem jak przefiltrować ten nick Rozumiem ze tak jest zle : [PHP] pobierz, plaintext if(!ereg('^[-A-Za-z0-9_]', $pokaz)){ // moze tak ? if(!ereg('^[-A-Za-z0-9_]', {$pokaz[user]})){ [PHP] pobierz, plaintext Jak bede wiedzial jak przefiltrowac ten nick to reszta jak z platka (IMG:style_emoticons/default/biggrin.gif)

gargamel Zobacz profil	27.11.2010, 20:01:27 Post #12
Grupa: Zarejestrowani Postów: 278 Pomógł: 35 Dołączył: 25.06.2010 Ostrzeżenie: (0%)	Prosz.. zamiast ereg stosuj preg_match, czyli: [PHP] pobierz, plaintext preg_match('/^[a-zA-z0-9]{1,10}$/D',$pokaz) [PHP] pobierz, plaintext Ale skryptu który przedstawiłeś w żaden sposób to nie zabezpieczy, ogólnie powiedziawszy nie jest on dobry. Ten post edytował gargamel 27.11.2010, 20:04:12

Lethys Zobacz profil	28.11.2010, 12:20:29 Post #13
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	No niby to jest dobra komenda na sprawdzanie niedozwolonych znakow ale nie działa z moim $pokaz, jak mogę sprawdzić czy to co użytkownik sobie wpisze w linku będzie posiadało niedozwolone znaki czy nie? Jak robie w ten sposób: [PHP] pobierz, plaintext $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); if(!preg_match('/^[a-zA-z0-9]{1,10}$/D',$pokaz)){ [PHP] pobierz, plaintext to preg match nie działa z moim $pokaz, a chce zeby uzytkownik nie mogl wpisac pokaz.php?pokaz=^%$.=_ takiego czegos w linku.

Mephistofeles Zobacz profil	28.11.2010, 13:54:32 Post #14
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%)	PDO i prepared statements, nic nie trzeba filtrować.

Lethys Zobacz profil	28.11.2010, 16:54:03 Post #15
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	Ok, zrobiłem to w taki sposób i chyba teoretycznie działa [PHP] pobierz, plaintext if(preg_match('/^[a-zA-z0-9]{1,10}$/D', $pokaz['user'])) { echo '<p>'.$pokaz['user'].'</p>'; } else { echo '<p>Nieprawidłowe dane!!</p>'; } [PHP] pobierz, plaintext Ten post edytował Lethys 28.11.2010, 17:02:11

fr33d0m Zobacz profil	28.11.2010, 18:35:55 Post #16
Grupa: Zarejestrowani Postów: 132 Pomógł: 4 Dołączył: 22.10.2010 Ostrzeżenie: (0%)	Ja bym zrobił to w taki sposób [PHP] pobierz, plaintext function filter($zmienna){ $zmienna = strip_tags(trim($zmienna)); $zmienna = mysql_real_escape_string($zmienna); if(get_magic_quotes_gpc()){ $zmienna = stripslashes($zmienna); } return $zmienna; } $GetGracz = filter(substr($_GET['gracz'],0,10)); $sprawdz = mysql_fetch_array(mysql_query("select COUNT() from `players` where `user`='$GetGracz'")); if ($sprawdz[0] == 0){ echo 'Taki player nie istnieje...'; } else { $pokaz = mysql_fetch_array(mysql_query("select from players where user='$GetGracz'")); echo '<br>'.$pokaz['user'].'<br>życie gracza: '.$pokaz['hp'].'<br>'; } [PHP] pobierz, plaintext Nie testowane, ale powinno śmigać (IMG:style_emoticons/default/wstydnis.gif) Ten post edytował fr33d0m 28.11.2010, 18:40:58

ADeM Zobacz profil	28.11.2010, 18:51:56 Post #17
Grupa: Zarejestrowani Postów: 455 Pomógł: 69 Dołączył: 23.10.2004 Skąd: Oświęcim Ostrzeżenie: (0%)	A po co tu dwa zapytania do bazy?

fr33d0m Zobacz profil	28.11.2010, 18:55:26 Post #18
Grupa: Zarejestrowani Postów: 132 Pomógł: 4 Dołączył: 22.10.2010 Ostrzeżenie: (0%)	Cóż, pisałem kod z głowy i dla pewności działania napisałem dwa zapytania. Zresztą mój poziom wiedzy jest ograniczony, ponieważ dopiero poznaje PHP więc wybacz... Ten post edytował fr33d0m 28.11.2010, 18:57:44

Wicepsik Zobacz profil	28.11.2010, 21:35:14 Post #19
Grupa: Zarejestrowani Postów: 1 575 Pomógł: 299 Dołączył: 26.03.2009 Ostrzeżenie: (20%)	[PHP] pobierz, plaintext if(!preg_match('/^[a-zA-z0-9]{1,10}$/D', $_GET['gracz'])){ echo 'Nieprawidlowa nazwa uzytkownika'; }else{ $s = mysql_fetch_array(mysql_query('SELECT * FROM player WHERE user = "'.$_GET['gracz'].'"')); if($s){ echo $s['user']; }else{ echo 'Nie ma takiego uzytkownika'; } } [PHP] pobierz, plaintext

Lethys Zobacz profil	28.11.2010, 22:13:49 Post #20
Grupa: Zarejestrowani Postów: 642 Pomógł: 2 Dołączył: 9.03.2006 Ostrzeżenie: (30%)	Rozumiem że taki kod : [PHP] pobierz, plaintext <?php include("config.php"); $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'")); if(!preg_match('/^[a-zA-z0-9]{1,10}$/D', $pokaz['user'])){ echo 'Nieprawidlowa nazwa uzytkownika'; }else{ $s = mysql_fetch_array(mysql_query('SELECT * FROM players WHERE user = "'.$pokaz['user'].'"')); if($s){ echo $s['user']; }else{ echo 'Nie ma takiego uzytkownika'; } } ?> [PHP] pobierz, plaintext Jest właściwy i będzie w jakiś tam sposób chronił przed sql injection? Jeżeli chodzi o praktyke to działa.

« Następny starszy · PHP · Następny nowszy »

2 Stron

1 2 >

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 23.08.2025 - 23:01

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn