Wysywalnie formularza, pliku bezpieczenstwo, Wysywalnie formularza, pliku bezpieczenstwo Opcje

[bigos1995-95]

Witam, napisałem skrypt który obsługuje błedy i dodaje informacje do bazy danych a nastepnie na innej stronie informacje sa odczytywane. Chciałbym was zapytać jak oceniacie mój skrypt i czego w nim brakuje.

Oczywiście brakuje tutaj obslugi błedów co do JS,PHP itd jak mam sformatować zmienne aby nie formatowały kodu JS, PHP itd (IMG:style_emoticons/default/questionmark.gif)


Dodawanie informacji do bazy danych

[PHP] pobierz, plaintext 
if (isset($_POST['przycisk'])) {
 
//Tworzymy krótkie nazwy zmiennych
 $nazwaskryptu = $_POST['nazwaskryptu'];
 $profesja = $_POST['profesja'];
 $nazwapoziom = $_POST['nazwapoziom'];
 $komentarz = $_POST['komentarz'];
 $miasto = $_POST['miasto'];
 $jaki_bot = $_POST['jaki_bot'];
 $plikuzytkownika = $_FILES['plikuzytkownika'];
 $skrypter = $_POST['skrypter'];
 
 //Sklejanie zmiennych
 $danatabela = $jaki_bot . $miasto;
 
    //lokalizacja pliku
 $lokalizacja = 'wyslane/'.$_FILES['plikuzytkownika']['name'];
 
 if(strlen($lokalizacja) > 50) {
    echo 'Dodawany plik nie może mieć nazwy dłuższej niż 50 znaków';
	exit;
 }
 
   // tworzenie zmiennej nazwy pliku
 $nazwapliku = $_FILES['plikuzytkownika']['name'];
 
 // Sprawdzanie, czy wszystkie dane zostały wpisane
     if(!$nazwaskryptu || !$nazwapoziom || !$komentarz || $miasto == "brak" || $jaki_bot == "pusty" || $profesja == "brak" || !$plikuzytkownika) {
	     echo 'Nie podałeś wszystkich danych';
         exit;
     } 
 
  // Sprawdzenie, czy przy próbie wysłania pliky wystąpił błąd
  if ($_FILES['plikuzytkownika']['error'] > 0)
  {
    echo 'Problem: ';
    switch ($_FILES['plikuzytkownika']['error'])
    {
      case 1: echo 'Rozmiar pliku przekroczył wartość upload_max_filesize'; break;
      case 2: echo 'Rozmiar pliku przekroczył wartość max_file_size'; break;
      case 3: echo 'Plik wysłany tylko częściowo'; break;
      case 4: echo 'Nie wysłano żadnego pliku'; break;
      case 6: echo 'Nie można wysłać pliku: Nie wskazano katalogu tymczasowego.'; break;
      case 7: echo 'Wysłane pliku nie powiodło się: Nie zapisano pliku na dysku.'; break;
    }
    exit;
  }
 
  // sprawdzanie czy pole POZIOM zawiera same cyfry  
  if(!ctype_digit($nazwapoziom)) {
    echo 'Pole "Podaj poziom" musi zawierać same cyfry';
	exit;
	}
	//sprawdzanie czy plik o podanej nazwie istnieje w katalogu
	$istnieje = file_exists($lokalizacja);
	  if($istnieje) {
	    echo 'Plik o nazwie <font color="#00FF00">'.$nazwapliku.'</font> istnieje już w katalogu, zmień nazwę pliku i spróbuj ponownie.';
		exit;
	  }
 
 
  //formatowanie zmiennych przed włożeniem do bazy danych
  if(!get_magic_quotes_gpc()) {
    $nazwaskryptu = mysql_escape_string($nazwaskryptu);
	$profesja = mysql_escape_string($profesja);
    $nazwapoziom = doubleval($nazwapoziom);
    $komentarz = mysql_escape_string($komentarz);
    $miasto = mysql_escape_string($miasto);
    $jaki_bot = mysql_escape_string($jaki_bot);
	$skrypter = mysql_escape_string($skrypter);
    }
 
   //laczenie z baza danych i dodawanie zapytania
@ $db = new mysqli('xxxxxxxx', 'xxxxxxxx', 'xxxxxxx', 'xxxxxxxx');
 
 
   if(mysqli_connect_errno()) {
       echo 'Blad: Polaczenie z baza danych nie powiodlo sie';
   }
  $zapytanie = "insert into $danatabela values (NULL, '".$profesja."', '".$nazwaskryptu."', '".$nazwapoziom."', '".$komentarz."', '".$skrypter."', '".$lokalizacja."',
                '".$lokalizacja."') ";
  $wynik = $db->query($zapytanie);
  if(!$wynik) {
    echo "Wystąpił błąd podczas zapisywania danych";
	exit;
	}
	$db->close();               
 
 
// umieszczenie pliku w pożądanej lokalizacji
 
  if (is_uploaded_file($_FILES['plikuzytkownika']['tmp_name']))
  {
     if (!move_uploaded_file($_FILES['plikuzytkownika']['tmp_name'], $lokalizacja))
     {
        echo 'Problem: Plik nie może być skopiowany do katalogu';
        exit;
     }
  }
  else
  {
    echo 'Problem: możliwy atak podczas wysyłania pliku. Nazwa pliku: ';
    echo $_FILES['plikuzytkownika']['name'];
    exit;
  }
 
  echo 'Plik został wysłany<br><br>';
  }
[PHP] pobierz, plaintext 

Odczytywanie informacji

[PHP] pobierz, plaintext 
@ $db = new mysqli('xxxxx', 'xxxxxx', 'xxxxxxx', 'xxxxxxxxx');
 
if(mysqli_connect_errno()) {
   echo 'Blad: Polaczenie z baza danych nie powiodlo sie';
   }
  $zapytanie = "select * from $tabela order by profesja";
  $wynik = $db->query($zapytanie);
 
  $ile_znalezionych = $wynik->num_rows;
 
  for($i=0; $i <$ile_znalezionych; $i++) {
      $wiersz = $wynik->fetch_assoc();
	  echo "<tr>";
	  echo '<td width="50" bgcolor="#00FF00"><font size="5">';
	  echo $l = $i + 1;
	  $numerrek = stripslashes($wiersz['numer']); // numer rekordu w bazie danych nie usuwac tego
	  echo '</font></td>';	  
	  echo '<td width="55" bgcolor="#C0C0C0">';
	  echo stripslashes($wiersz['profesja']);
	  echo '</td>';	  
	  echo '<td width="100" bgcolor="#993333">';
	  echo stripslashes($wiersz['nazwa']);
	  echo '</td>';
	  echo '<td width="50" bgcolor="#00FFFF">';
	  echo stripslashes($wiersz['poziom']);
	  echo '</td>';	  
	  echo '<td width="570" bgcolor="#663399">';
	  echo stripslashes($wiersz['opis']);
	  echo '</td>';	  
	  echo '<td width="55" bgcolor="#99ccff">';
	  echo stripslashes($wiersz['skrypter']);
	  echo '</td>';	 	  
	  echo '<td width="100" bgcolor="#99ff99">';
	  $infpodg = stripslashes($wiersz['podglad']);
	  echo '<a href="podglad.php?lokalizacja='.$infpodg.'">Zobacz</a>';
	  echo '</td>';
	  echo '<td width="100" bgcolor="#ccff33">';
	  $infpobi = stripslashes($wiersz['pobierz']);
	  echo '<a href="pobierz.php?skad='.$infpobi.'">Pobierz</a>';
	  echo '</td>';
	    if(isset($_SESSION['prawid_uzyt']))
        {
	  echo '<td width="10">';
	  echo '<a href="usunskr.php?numerskr='.$numerrek.'&nazwatab='.$tabela.'&sciezka='.$infpodg.'">X</a>';
	  echo '</td>';
	    }
	  echo "</tr>";
	  }	  	  		  
  $wynik->free();
  $db->close();
[PHP] pobierz, plaintext 

[nospor]

$item = "Zak's Laptop";
$escaped_item = mysql_escape_string($item);
printf ("Łańcuch ze znakami unikowymi: %s\n", $escaped_item);

Kurcze, ale ty nie wyświetlaj sobie tego co robi mysql_escape_string - ta funkcja robi tak, by było dobrze przy wkładaniu do bazy. Ty nie patrz ze ona dodaje ukosniki, bo ona ma dodawać ale to tylko dla bazy dodaje. Jak z bazy pobierzesz dane to one już tych ukośników mieć nie będą..... No chyba że masz włączone MAGIC_QUOTES - to wtedy masz podwojnie ukosniki robione i one jak pobierzesz z bazy to będą. Dlatego ci mowie, że masz wyłączyć MAGIC_QUOTES jeśli masz włączone i już potem żadnych stripslashes nie używaj.
No już jaśniej się tego nie da napisać.


Co do kodu js, to jeśli nie pozwalasz by ktokolwiek ci wkladał jakieś kod html/js to przed wyswietlanieam danych używaj htmlspecialchars() - wowczas nawet jak ktoś ci wstawi js to nic ci nie zrobi.