Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] kod dodający do bazy, czy dobrze pod względem bezpieczeństwa ?
-jorgus-
post
Post #1





Goście
Jak pod względem bezpieczeństwa przeorganizować ten kod ? Chyba, że zabieczenia dodane są już wystarczające ?

[PHP] pobierz, plaintext 
  1. <?php
  2. $sql = "SELECT news.*, komentarze.nick as knick, komentarze.nr as knr, komentarze.t
    resc as ktresc, 
  3. komentarze.data as kdata from news, komentarze  where news.id = komentarze.newsID AND 
  4. komentarze.newsID=$id ORDER BY kdata ASC";
  5.  
  6. $wynik = @mysql_query ($sql);
  7. while ($news = @mysql_fetch_array ($wynik))
  8. {
  9.  
  10. $knr=stripslashes($news['knr']);
  11. $ktresc=stripslashes($news['ktresc']);
  12. $knick=stripslashes($news['knick']);
  13. $kdata=stripslashes($news['kdata']);
  14. $i++;
  15.  
  16.  
  17. echo '<h4> #' . $i . '</h4><p class="tresc">' . $ktresc . '</p><p class="autor">Napisał: ' . $knick . ' - <i>'
  18.  . $kdata . '</i></p>';
  19.  
  20.  
  21. }
  22.  
  23.  
  24.  print "<H3>Komentarz:</H3>";
  25. //echo "<form method="POST" action="nowy.php">";
  26.  print "<FORM METHOD=POST><INPUT TYPE="hidden" NAME="id" VALUE="$id">";
  27.  print "<B>Autor</B><BR><INPUT TYPE="text" NAME="nick" VALUE="$nick" SIZE=60><BR> ";
  28.  print "<B>Treść:</B><BR><TEXTAREA NAME="srodek" ";
  29.  print "ROWS=10 COLS=60>$srodek</TEXTAREA><BR>";
  30.  print "<INPUT TYPE="submit" VALUE="dodaj"  name="gd">";
  31.  print "</FORM>";
  32.  
  33.  
  34. if ($gd=='dodaj') { 
  35.  
  36.  
  37. $srodek = addslashes(nl2br(htmlentities($srodek))); 
  38.  $nick = addslashes(htmlentities($nick));
  39.  
  40. if ($tresc && $nick && $nick!=admin) {
  41. $zapytanie = "INSERT INTO komentarze (newsID, tresc, nick, "." data) VALUES ('$id', '$srodek', '$nick', "." NOW());";
  42.  $wynik = mysql_query ($zapytanie); 
  43. header("Location: url");
  44. }
  45. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Athlan
post
Post #2





Grupa: Developerzy
Postów: 823
Pomógł: 12
Dołączył: 18.12.2005

Ostrzeżenie: (0%)
-----

@bigZbig - a mnie wkurza jak np mi wypełniaja formularz z cudzej strony i odwołuje się on do mojego linka, który zapisuje te dane... poza tym na tym polegją m.in. boty - maja formularz i jazda...

może te sesje jednorazowe to rzeczywiście niezły pomysł... tworzona zostaje przy wyswietleniu formularza i niszczona po akcjach nastąpionych po wykonaniu żądania (unset" title="Zobacz w manualu php" target="_manual)

co Wy na to? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- jorgus   [php] kod dodający do bazy   2.08.2006, 06:16:16
- - bigZbig   Wartosc id w formularzu tez mozna podmienic wiec j...   2.08.2006, 07:59:14
|- - jorgus   Cytat(bigZbig @ 2.08.2006, 07:59 ) Wartos...   2.08.2006, 08:14:53
|- - bigZbig   Cytat(jorgus @ 2.08.2006, 09:14 ) tzn jak...   2.08.2006, 09:09:26
- - NetJaro   Może stworzyć formularz u siebie np. na localhost...   2.08.2006, 08:44:46
- - jorgus   acha no, a jak zabezpieczyć ? ktoś w poprzednim po...   2.08.2006, 09:08:23
- - NetJaro   Aby sprawdzić, sprawdzasz, czy HTTP_REFER zawiera ...   2.08.2006, 09:13:49
- - bigZbig   Mowiac sprawdzic mialem na mysli np. czy wartosc i...   2.08.2006, 09:17:17
- - nospor   Oj panowie, nie pastwijcie sie nad chlopakiem.... ...   2.08.2006, 09:19:53
- - Athlan   CytatAby sprawdzić, sprawdzasz, czy HTTP_REFER zaw...   2.08.2006, 09:26:54
- - jorgus   [PHP] pobierz, plaintext <?php$_GET['id'...   2.08.2006, 10:06:19
- - SongoQ   Referer da sie obejsc, wiec nie jest to dobrym roz...   2.08.2006, 10:08:35
- - Athlan   CytatReferer da sie obejsc, wiec nie jest to dobry...   2.08.2006, 11:01:09
- - nospor   Cytatpowiedz jak, jeżeli można... wiesz teraz myśl...   2.08.2006, 11:09:44
- - Gość   CytatJa przykladowo tego nie wiem, ale wiem, ze mo...   2.08.2006, 11:25:24
- - SongoQ   Cytatpowiedz jak, jeżeli można... wiesz teraz myśl...   2.08.2006, 11:29:25
- - jorgus   no tak jak to w końcu, co Wy używacie ? bo dalej n...   2.08.2006, 12:26:18
- - NetJaro   OK, dobra bo się czuje winny Ew. możesz w formul...   2.08.2006, 12:26:51
- - bigZbig   Chłopaki (przepraszam jesli wypowiadała tu się jak...   2.08.2006, 12:59:55
- - Athlan   @bigZbig - a mnie wkurza jak np mi wypełniaja form...   2.08.2006, 13:07:57
- - jorgus   napiszcie taki przykład z tymi sesjami w takim ra...   2.08.2006, 13:16:24
- - Athlan   na przykład form.php [PHP] pobierz, plaintext ...   2.08.2006, 13:33:01
- - bigZbig   Zabezpieczenie przed botami to juz inna sprawa, al...   2.08.2006, 13:41:30
- - jorgus   @Athlan ok dzięki, a jak ma to zabezpieczać, tzn. ...   2.08.2006, 15:03:57
- - Athlan   ~jorgus a ja teraz mówie o kwestji miejsca, w któr...   2.08.2006, 15:10:26
|- - bigZbig   Cytat(Athlan @ 2.08.2006, 16:10 ) ps: cia...   3.08.2006, 14:08:15
- - jorgus   no teraz to kumam, a odnśnie innych błędów w kodzi...   3.08.2006, 05:41:07
- - Athlan   ~jorgus: Temat: SQL Injection Insertion   3.08.2006, 10:49:39
- - Pucy   Ja uwazam, ze jezeli nie wiecie jak dzialaja dokla...   10.08.2006, 13:11:42

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 02:34
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn