[php/MySql] Bezpieczeństwo skryptu

[php/MySql] Bezpieczeństwo skryptu

Ciap-Ciak Zobacz profil	18.05.2006, 19:21:35 Post #1
Grupa: Zarejestrowani Postów: 33 Pomógł: 0 Dołączył: 31.03.2006 Skąd: Muszyna Ostrzeżenie: (0%)	Mam pewnie skrypt logowania. Chciałbym abyscie ocenili jego bezpieczoeństwo: index.php [PHP] pobierz, plaintext <?php ob_start(); session_start(); include('includes/config.php'); mysql_connect($db_host,$db_user,$db_pass) or die ("Nie mogę nawiązać połączenia z bazą danych!"); mysql_select_db($db_name); if(empty($username) \|\| empty($password)) { echo("Zaloguj się:<br />"); include("forms/login.php"); echo("<br />Lub <a href=\"forms/register.php\">zarejestruj się</a>"); echo("<br />Lub <a href=\"page1.php\">wejdz na podstrone nr1</a>"); } else { # #Logowanie # $sql = "SELECT * FROM `v_users` WHERE `user_password`='".$password."' AND `user_username`='".$username."'"; $results = mysql_query($sql); if(mysql_num_rows($results)) { $getid = "SELECT * FROM `v_users` WHERE `user_username`='".$username."' LIMIT 1"; $getidexec = mysql_query($getid); while($r=mysql_fetch_array($getidexec)){ $userid = $r[userid]; } $_SESSION['logged']=1; } else { die("Nazwa użytkownia i/lub hasło są błędne!"); } # #--------------------------------------------------------- # } if(isset( $_SESSION['logged'])) { echo("Jestes zalogowany<br /><br />"); echo("<br /><a href=\"page1.php\">wejdz naa podstrone nr1</a><br><br>"); #... #TRESCI DOSTEPNA PO ZALOGOWANIU #... include("forms/logout.php"); } ob_end_flush(); ?> [PHP] pobierz, plaintext includes/config.php [PHP] pobierz, plaintext <?php #Polaczenie z baza danych $db_host = "localhost"; $db_user = "root"; $db_pass = ""; $db_name = "database"; #Login/Logout $username=$_POST['login']; $password=$_POST['pass']; $logout=$_POST['logout']; $username=strip_tags($username); $password=strip_tags($password); $username=str_replace(" ","",$username); $password=str_replace(" ","",$password); $username=str_replace("%20","",$username); $password=str_replace("%20","",$password); $username=addslashes($username); $password=addslashes($password); $password=md5($password); ?> [PHP] pobierz, plaintext Czy ten skrypt jest wystarczajaco bezpieczy czy moze powinenem w nim cos zmienic - dodac?

Odpowiedzi

Master Miko Zobacz profil	18.05.2006, 20:59:47 Post #2
Grupa: Zarejestrowani Postów: 530 Pomógł: 0 Dołączył: 15.01.2005 Skąd: Warszawa Ostrzeżenie: (0%)	Oczywiście. Hacker tworzy formularz z $_POST.... mysql_escape_string została specjalnie stworzona do "wkładania" danych z POST i GET do bazy danych. Tak jak napisałeś to jest dobre: [PHP] pobierz, plaintext <?php $username=str_replace(" ","",$username); $password=str_replace(" ","",$password); $username=str_replace("%20","",$username); $password=str_replace("%20","",$password); ?> [PHP] pobierz, plaintext Tak samo function.htmlspecialchars.php" title="Zobacz w manualu php" target="_manual zostało stworzone do wyświetlania na stronie wartości z formularzy. PS. a to nie jest przypadkiem: mysql_real_escape_string" title="Zobacz w manualu php" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Ten post edytował Master Miko 18.05.2006, 21:03:04

Posty w temacie

Ciap-Ciak [php/MySql] Bezpieczeństwo skryptu 18.05.2006, 19:21:35

dyktek troche duzo tego filtrowania, no i nie czyścisz ty... 18.05.2006, 19:35:58

Ciap-Ciak przeczytalem pierwsze 2 strony powyzeszego tematu ... 18.05.2006, 20:47:53

Master Miko Oczywiście. Hacker tworzy formularz z $_POST.... 18.05.2006, 20:59:47

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 2.10.2025 - 16:43

Hosting zapewnia

Forum PHP.pl