Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][MySQL] Bezpieczeństwo skryptu, Prosze o pomoc
Snap
post
Post #1





Grupa: Zarejestrowani
Postów: 75
Pomógł: 4
Dołączył: 29.05.2005

Ostrzeżenie: (0%)
-----

Witam. Napisałem taki skrypt.
Czy on jest bezpieczny (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) 
[PHP] pobierz, plaintext 
  1. <?php
  2.   $errors = 0;
  3.  
  4.   if (
  5. 	empty($aaa) or 
  6. 	empty($bbb) or 
  7. 	empty($ccc) or 
  8. 	empty($ddd)
  9.   {
  10. 	  echo 'Wypelnij wszystkie pola<br />';
  11. 	  $errors = 1;
  12.   } 
  13.  
  14.   $exist_topsite = mysql_query("SELECT 1 FROM test WHERE Test22 ='".$aaa."'");
  15.  
  16.   if (==  mysql_num_rows($bbb))
  17.   {
  18. 		echo 'Topka o wybranej nazwie nie istnieje<br />';
  19. 		$errors = 1;
  20.   }
  21.  
  22. 	if (!empty($ccc) and !preg_match('@^http://.*.(jpg|gif)$@i', $ccc))
  23. 	{
  24. 	  echo 'Adres loga musi zaczynać się od http:// i logo musi być rozszerzenia jpg, gif<br />';
  25.  
  26. 	  $errors = 1;
  27.  
  28. 	}	
  29.  
  30. 	if (!empty($ddd) and !preg_match('@^http://.*.(jpg|gif|png)$@i', $ddd))
  31. 	{
  32. 	  echo 'Adres buttona musi zaczynać się od http:// i logo musi być rozszerzenia jpg, gif lub png<br />';
  33.  
  34. 	  $errors = 1;
  35.  
  36. 	}
  37.  
  38.  
  39.   if (strpos($eee, "@") == false)
  40.   {
  41. 	  echo 'Podaj poprawny email<br />';
  42. 	  $errors = 1;
  43.   }
  44.   if (strcmp($fff, $ggg) != 0)
  45. 	{
  46. 		echo 'Zle wpisane potwierdzenie hasla<br />';
  47. 		$errors = 1;
  48. 	} 
  49.  
  50.   if (== $errors)
  51.   {
  52. 	mysql_query("UPDATE ".$aaa."_test SET test4 = '".$iii."'");
  53.  
  54. 		if (empty($passwd))
  55. 		{
  56. 		mysql_query("UPDATE test SET test1 = '".$aaa."', test3 = '".$ccc."'");
  57. 		}
  58. 		else 
  59. 		{
  60. 		mysql_query("UPDATE test SET test1 = '".$aaa."', test3 = MD5('".$ggg."'), test2 = '".$ccc."'");
  61. 		}
  62.  
  63. 	if (== mysql_affected_rows())
  64. 	{
  65. 	  echo "<br /><center><h2><font color=green>OK</font></h2></center><br />";
  66. 	  $edited = 1;
  67. 	}
  68. 	 else
  69. 	{
  70. 	  echo "<br /><center><h2><font color=red>Error</font></h2><br /></center>";
  71. 	  $edited = 0;
  72. 	} 
  73.  
  74.   }
  75.   else 
  76.   {
  77. 	  $edited = 0;
  78.   }
  79.  
  80.  
  81. ?>
[PHP] pobierz, plaintext


Prosze o pomoc w zabezpieczeniu skryptu. Na serwerze mam włączone magic quote...

Ten post edytował Snap 18.03.2007, 14:21:36
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
szagi3891
post
Post #2





Grupa: Zarejestrowani
Postów: 109
Pomógł: 9
Dołączył: 12.03.2007
Skąd: kraków/tarnobrzeg/baranów/suchorzów

Ostrzeżenie: (0%)
-----

Temat: SQL Injection Insertion

sugerował bym przejrzenie tego tematu gdyż zostało tam powiedziane dużo fajnych rzeczy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ja osobiście filtruje apostrofy z każdej danej wprowadzanej do strony za pomocą skryptu i w zapytaniach zamykam je w cudzysłowy. Myślę że to powinno wystarczyć. Jak ktoś coś niecnego wrzucić jako daną wejściową to wtedy zostanie wygenerowane błędne zapytanie i będę widział tą informację w logach strony.
Go to the top of the page
+Quote Post

Posty w temacie
- Snap   [PHP][MySQL] Bezpieczeństwo skryptu   18.03.2007, 14:18:42
- - szagi3891   Temat: SQL Injection Insertion sugerował bym prze...   18.03.2007, 19:25:14
- - misiek172   musisz jeszcze dodać usuwanie TAGów taki jak JS bo...   18.03.2007, 23:13:41

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 2.10.2025 - 07:57
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn