Jak Zabezpieczyć Formularz? Opcje

[korex]

Witam,
jestem tu nowym oraz początkującym użytkownikiem.
Przybywam z prośbą o pomoc w zabezpieczeniu formularza przed odświezaniem(Nie udało mi sie nic z tym zrobic chodz widzialem tu pare tematów na forum.)
Otóż mam skrypt(napewno jest bardzo pomieszany oraz mozna by go napisac wydajniej ale to moje poczatki jak juz wspomnialem)

buy.php

[PHP] pobierz, plaintext 
<form method="POST" action="">
				<input id="1" type="radio" value="1" name="buy">XX<br>
				<input id="2" type="radio" value="2" name="buy">XX<br>
				<input id="3" type="radio" value="3" name="buy">XX<br>
				<input id="4" type="radio" value="4" name="buy">XX<br>
				<input id="5" type="radio" value="5" name="buy">XX<br>
				<input id="6" type="radio" value="6" name="buy">XX<br>
				<input id="7" type="radio" value="7" name="buy">XX<br>
				<input id="8" type="radio" value="8" name="buy">XX<br>
				<input id="9" type="radio" value="9" name="buy">XX<br>
				<p>Nick:
				<input type="text" name="nick"><br>
				<br>
				<input type="submit" value="Zamów " name="go" onclick="return confirm('Jesteś pewien że wpisałeś poprawne dane?Jeśli tak kliknij OK.')"></p>
</form>
<?php
connect_db(); //Łącze sie z bazą(dane w config.php)
$query = mysql_query("SELECT `bonus` FROM `accounts` WHERE (`id` = '".$_SESSION['account']."') ") or die(mysql_error());
 
				while($sql = mysql_fetch_array($query)) {
 
$bon = $sql['bonus'];
 
}	
$nick=$_POST['nick'];
 
 
 
 
 
if ($_SERVER['REQUEST_METHOD'] == "POST") {
 
 
 
$query=mysql_query("SELECT * FROM `players` WHERE (`name` = '$nick')");
		if (mysql_num_rows($query) == 0) { 
					echo "<h1>Błąd.</h1><p>Gracz o nicku $nick nie istnieje!.</p>";
					$e = 1;
				}
				if (empty($nick)) 
			{ echo 'Podaj Nick!'; } 
 
 
 
$buy = $_POST['buy'];
if($buy == 1) {
				$item='2494';
				$itemname="Demon Armor";
				$count='1';
				$prize='100';
 
 
 
 
 
 
//Includuje kod który dodaje powyższe zmienne do bazy danych u gracza ze zmienna n
ick jesli ma wystarczajaco punktów
include('buy1.php');
 
 
			}					
if($buy == 2 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';
 
 
}
if($buy == 3 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';
 
 
}
if($buy == 4 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';		
 
}
if($buy == 5 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';				
 
}
if($buy == 6 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';			
 
}
if($buy == 7 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';				
 
}
if($buy == 8 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';		
}
if($buy == 9 ) {
$item='x';
$itemname='xx';
$count='x';
$prize='xx';				
	}
}
 
 
 
?>
[PHP] pobierz, plaintext 

Skrypt smiga i wszystko gra tylko ze po odswiezeniu strony dodaje ponownie do bazy danych;/ Wiec mozna miec bonusu na minusie a tak byc nie powinno:/ Prosiłbym o pomoc w rozwiązaniu tego problemu. Mam nadzieje ze pisze w dobrym dziale.

[Snowak]

Tibijczyk piszący skrypt do OTSa (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Dodaj sobie do formularza jakieś ukryte pole zawierające przypadkowy ID, np. wynik funkcji time() i jednocześnie zapisz go do sesji, np.

[PHP] pobierz, plaintext 
<?php
$_SESSION['unique'] = time();
echo('<input type="hidden" name="unique" value="' . $_SESSION['unique'] . '" />');
?
?>
[PHP] pobierz, plaintext 

I teraz przy zapisywaniu formularza sprawdzasz czy $_SESSION['unique'] == $_POST['unique'] i tylko wtedy zapisujesz dane i jednocześnie zerujesz zmienną unique sesji, czyli $_SESSION['unique'] = '';

Przy następnym odświeżeniu strony skrypt już nie zaakceptuje formularza bo wartość unique będzie inna.

[btw]
Ten skrypt jest podatny na SQL injection... Lepiej się przed tym zabezpiecz bo można sobie przydzielić uprawnienia GMa na OTSie w parę sekund (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował Snowak 3.02.2008, 00:33:50