Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] kod dodający do bazy, czy dobrze pod względem bezpieczeństwa ?
-jorgus-
post
Post #1





Goście
Jak pod względem bezpieczeństwa przeorganizować ten kod ? Chyba, że zabieczenia dodane są już wystarczające ?

[PHP] pobierz, plaintext 
  1. <?php
  2. $sql = "SELECT news.*, komentarze.nick as knick, komentarze.nr as knr, komentarze.t
    resc as ktresc, 
  3. komentarze.data as kdata from news, komentarze  where news.id = komentarze.newsID AND 
  4. komentarze.newsID=$id ORDER BY kdata ASC";
  5.  
  6. $wynik = @mysql_query ($sql);
  7. while ($news = @mysql_fetch_array ($wynik))
  8. {
  9.  
  10. $knr=stripslashes($news['knr']);
  11. $ktresc=stripslashes($news['ktresc']);
  12. $knick=stripslashes($news['knick']);
  13. $kdata=stripslashes($news['kdata']);
  14. $i++;
  15.  
  16.  
  17. echo '<h4> #' . $i . '</h4><p class="tresc">' . $ktresc . '</p><p class="autor">Napisał: ' . $knick . ' - <i>'
  18.  . $kdata . '</i></p>';
  19.  
  20.  
  21. }
  22.  
  23.  
  24.  print "<H3>Komentarz:</H3>";
  25. //echo "<form method="POST" action="nowy.php">";
  26.  print "<FORM METHOD=POST><INPUT TYPE="hidden" NAME="id" VALUE="$id">";
  27.  print "<B>Autor</B><BR><INPUT TYPE="text" NAME="nick" VALUE="$nick" SIZE=60><BR> ";
  28.  print "<B>Treść:</B><BR><TEXTAREA NAME="srodek" ";
  29.  print "ROWS=10 COLS=60>$srodek</TEXTAREA><BR>";
  30.  print "<INPUT TYPE="submit" VALUE="dodaj"  name="gd">";
  31.  print "</FORM>";
  32.  
  33.  
  34. if ($gd=='dodaj') { 
  35.  
  36.  
  37. $srodek = addslashes(nl2br(htmlentities($srodek))); 
  38.  $nick = addslashes(htmlentities($nick));
  39.  
  40. if ($tresc && $nick && $nick!=admin) {
  41. $zapytanie = "INSERT INTO komentarze (newsID, tresc, nick, "." data) VALUES ('$id', '$srodek', '$nick', "." NOW());";
  42.  $wynik = mysql_query ($zapytanie); 
  43. header("Location: url");
  44. }
  45. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Pucy
post
Post #2





Grupa: Zarejestrowani
Postów: 124
Pomógł: 0
Dołączył: 8.05.2006

Ostrzeżenie: (0%)
-----

Ja uwazam, ze jezeli nie wiecie jak dzialaja dokladnie botki, czy tworza sesje czy jej nie tworza, to powinniscie sie jednak bardziej skupic na tresci jaka zostanie wyslana. Co wam przyjdzie po zludnych zabezpieczeniach jezeli zostanie napisany taki bocik, ktory i tak to w jakis sposob obejdzie. A czasami warto wrocic do korzeni, zabezpiczeczajac tresc jakakolwiek zostalaby wyslana przez usera czy bota... wiecej roboty? watpie...
Go to the top of the page
+Quote Post

Posty w temacie
- jorgus   [php] kod dodający do bazy   2.08.2006, 06:16:16
- - bigZbig   Wartosc id w formularzu tez mozna podmienic wiec j...   2.08.2006, 07:59:14
|- - jorgus   Cytat(bigZbig @ 2.08.2006, 07:59 ) Wartos...   2.08.2006, 08:14:53
|- - bigZbig   Cytat(jorgus @ 2.08.2006, 09:14 ) tzn jak...   2.08.2006, 09:09:26
- - NetJaro   Może stworzyć formularz u siebie np. na localhost...   2.08.2006, 08:44:46
- - jorgus   acha no, a jak zabezpieczyć ? ktoś w poprzednim po...   2.08.2006, 09:08:23
- - NetJaro   Aby sprawdzić, sprawdzasz, czy HTTP_REFER zawiera ...   2.08.2006, 09:13:49
- - bigZbig   Mowiac sprawdzic mialem na mysli np. czy wartosc i...   2.08.2006, 09:17:17
- - nospor   Oj panowie, nie pastwijcie sie nad chlopakiem.... ...   2.08.2006, 09:19:53
- - Athlan   CytatAby sprawdzić, sprawdzasz, czy HTTP_REFER zaw...   2.08.2006, 09:26:54
- - jorgus   [PHP] pobierz, plaintext <?php$_GET['id'...   2.08.2006, 10:06:19
- - SongoQ   Referer da sie obejsc, wiec nie jest to dobrym roz...   2.08.2006, 10:08:35
- - Athlan   CytatReferer da sie obejsc, wiec nie jest to dobry...   2.08.2006, 11:01:09
- - nospor   Cytatpowiedz jak, jeżeli można... wiesz teraz myśl...   2.08.2006, 11:09:44
- - Gość   CytatJa przykladowo tego nie wiem, ale wiem, ze mo...   2.08.2006, 11:25:24
- - SongoQ   Cytatpowiedz jak, jeżeli można... wiesz teraz myśl...   2.08.2006, 11:29:25
- - jorgus   no tak jak to w końcu, co Wy używacie ? bo dalej n...   2.08.2006, 12:26:18
- - NetJaro   OK, dobra bo się czuje winny Ew. możesz w formul...   2.08.2006, 12:26:51
- - bigZbig   Chłopaki (przepraszam jesli wypowiadała tu się jak...   2.08.2006, 12:59:55
- - Athlan   @bigZbig - a mnie wkurza jak np mi wypełniaja form...   2.08.2006, 13:07:57
- - jorgus   napiszcie taki przykład z tymi sesjami w takim ra...   2.08.2006, 13:16:24
- - Athlan   na przykład form.php [PHP] pobierz, plaintext ...   2.08.2006, 13:33:01
- - bigZbig   Zabezpieczenie przed botami to juz inna sprawa, al...   2.08.2006, 13:41:30
- - jorgus   @Athlan ok dzięki, a jak ma to zabezpieczać, tzn. ...   2.08.2006, 15:03:57
- - Athlan   ~jorgus a ja teraz mówie o kwestji miejsca, w któr...   2.08.2006, 15:10:26
|- - bigZbig   Cytat(Athlan @ 2.08.2006, 16:10 ) ps: cia...   3.08.2006, 14:08:15
- - jorgus   no teraz to kumam, a odnśnie innych błędów w kodzi...   3.08.2006, 05:41:07
- - Athlan   ~jorgus: Temat: SQL Injection Insertion   3.08.2006, 10:49:39
- - Pucy   Ja uwazam, ze jezeli nie wiecie jak dzialaja dokla...   10.08.2006, 13:11:42

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 3.10.2025 - 17:15
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn