[MySQL][PHP]Kilka pytań poczatkujacego - bezpiencztwo i wydajnosc Opcje

[gosciuuu]

Z góry chciałbym prosić o nie wysyłanie mnie do google czy manuala; zanim zdecydowałem się napisać tutaj przestudiowalem google i jednak nie znalazlem tego co chce; a czasem manual nie jest dla mnie wystarczajaco jasny.

PHP, MySQL znam dosc dobrze, natomiast nie mam dużego doświadczenia w (nazwijmy to) administracji. A konkretnie chodzi mi wydajnosc i bezpieczenstwo;


1. Pierwsze moje pytanie dotyczy baz dancyh, zastanawiam sie czy za duza liczba rows`ów w bazie (powiedzmy 10 kolumnowej po 50 znakow max) nie spowoduje czegoś złego. Tzn w skrócie mówiąc jaka liczba rowsow jest duza a jaka mala, co w sytuacji kiedy tych rowsow jest za duzo. Mam nadzieje ze mniej wiecej wiecie o co mi chodzi.


2. Druga sprawa to bezpieczeństwo, a dokladnie GET a jeszcze dokladniej link aktywacyjny konta np.: aktywacja.php?email=przyklad&numeraktywacyhny=75438508

Poniżej jest taki prsoty skrypt (nie caly bo jeszcze sprawdzenie aktywacji itd itp), lecz skrypt nie jest bezpieczny, czy moze ktos mi napisac jak najlepiej go zabezpieczyc przed injection i wszystkim innym ?

[PHP] pobierz, plaintext 
<?php
 
$email = $GET["email"];
 
$kod = $GET["numeraktywacyhny"];
 
if(isset($email) && isset($kod)) {
 
	$sprawdz = mysql_query("SELECT * FROM uzytkownicy WHERE email='$email' AND kod='$kod'");
 
	if (mysql_num_rows($sprawdz) == 1) {
 
	mysql_query("UPDATE uzytkownicy SET aktywacja = tak WHERE email = '$email'");
 
	} else {
 
	echo "LINK JEST NIEPRAWIDŁOWY";	
 
	}
 
}
 
?>
[PHP] pobierz, plaintext 

[!*!]

Użyj PDO z bindowaniem zamiast mysql_*
Link aktywacyjny dobry, sprawdzaj tylko że email to email, a liczba to liczba... Choć sam ograniczyłbym się do zwykłego hasha np. md5 w linku na bazie emaila.

[gosciuuu]

Przyszło mi jeszcze do głowy żeby sprawdzic czy email jest faktycznie emailem a koc sklada sie tylko z cyfr:

[PHP] pobierz, plaintext 
 
<?php
 
$email = $GET["email"];
 
$kod = $GET["numer_aktywacyjny"];
 
if(isset($email) && isset($kod)) {
 
	if(filter_var($email, FILTER_VALIDATE_EMAIL) && is_numeric($kod)) {
 
	$sprawdz = mysql_query("SELECT * FROM users WHERE email='$email' AND kod='$kod'");
 
		if (mysql_num_rows($sprawdz) == 1) {
 
		mysql_query("UPDATE uzytkownicy SET aktywacja = tak WHERE email = '$email'");
 
		} else {
 
		echo "LINK JEST NIEPRAWIDŁOWY";	
 
		}
 
	} else {
 
	echo "DANE SĄ NIEPRAWIDŁOWE";
 
	}
 
}
 
?>
 
[PHP] pobierz, plaintext 

Ten post edytował gosciuuu 17.02.2013, 12:59:59

[djgarsi]

1. Jeśli stworzysz poprawną strukturę to nie będzie problemu przy dużej ilości "rowsów".
2. Koncepcja ok, jednak zabezpiecz odpowiednio ten skrypt: walidacja maila oraz numeru aktywacyjnego np. wyrażeniami regularnymi.

[gosciuuu]

!*! - fakt, pomysl z samym zakodowanym mailem to dobry pomysl

Więc czy if(is_numeric($aktywacja)) { } bedzie dobrze ? Czy czymś jeszcze zabepieczyć, wyciagnanie z bazy danych lub uploadowanie ?

O PDO musze poczytać, nie wydaje się być to trudne, czy to chroni przed włamaniami injection ?

djgarsi - mowimy tu moze nawet o milionie rowsów, czy przy dobrej strukturze, nie bedzie problemow ?

[!*!]

Raczej is_int jak brać pod uwagę Twój przykład.
Nic Cie nie chroni przed niczym, PDO z bindowaniem jedynie zapobiega "wstrzykiwaniu", ale to nie zwalania Cie od walidacji.

Milion to dość mało, a sama struktura bazy to za mało, aby mówić że to jest dobre. Jak coś będzie stwarzać problemy to zaczynasz myśleć o optymalizacji, cache itd.

[djgarsi]

Milion rekordów to mało, i jak zauważa !*!, powinieneś pomyśleć o optymalizacji, jednak dobra struktura to podstawa.