Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][MYSQL]Filtrowanie danych, Czy dobrze użyte?
ArekJ
post
Post #1





Grupa: Zarejestrowani
Postów: 266
Pomógł: 9
Dołączył: 21.05.2008
Skąd: Łomianki

Ostrzeżenie: (0%)
-----

Witam,

mam pytanie, czy dobrze zastosowałem filtrowanie danych w tym skrypcie(błędów nie wywala, ale nie wiem jak sprawdzić czy filtruje). A oto kod:

[PHP] pobierz, plaintext 
  1. <?php
  2. els:
  3.  
  4. dbConnect('xxx');
  5.         
  6. $login=htmlspecialchars($_POST['login']);
  7. $haslo=htmlspecialchars($_POST['haslo']);
  8. $email=htmlspecialchars($_POST['email']);
  9.  
  10.  
  11. $login=strip_tags($_POST['login']);
  12. $haslo=strip_tags($_POST['haslo']);
  13. $email=strip_tags($_POST['email']);
  14.  
  15.         
  16. if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
  17. error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe błęd:    \n'.'-puste pole,\n'.'-błędny e-mail.');
  18. }
  19.    
  20.  
  21. $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"';
  22. $result = mysql_query($sql);
  23. if (!$result) {
  24. error('Błąd w zapytaniu SQL');
  25. }
  26. if (@mysql_result($result,0,0)>0) {
  27. error('Wybrany login jest zajęty. \n'.
  28. 'Proszę wpisać inny login. ');
  29. }
  30.  
  31. $sql = 'INSERT INTO uzytkownik SET
  32. login = "'.$_POST['login'].'",
  33. haslo = md5("'.$_POST['haslo'].'"), 
  34. email = "'.$_POST['email'].'"';
  35. if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
  36.  
  37. echo('<HTML> 
  38. <HEAD> 
  39. <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
  40. <TITLE>Rejestracja zakończona</TITLE>
  41. <STYLE type=\"text/css\">
  42. <!--
  43. BODY, { font: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
  44. -->
  45. </STYLE>
  46. </HEAD> 
  47. <BODY>
  48. <P><B>Rejestracja zakończona pomyślnie!</B></P>
  49. <P>Logi: <B>'.$_POST['login'].'</B><BR>
  50. Hasło: <B>'.$_POST['haslo'].'</B></P>
  51. ');
  52.  
  53. endif
  54. ?>
[PHP] pobierz, plaintext


I mam jeszcze pytanie o inne metody zabezpieczania i o wskazówki jak je zastosować (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
b4x
post
Post #2





Grupa: Zarejestrowani
Postów: 658
Pomógł: 95
Dołączył: 20.12.2005
Skąd: N54,35° E18,63° (Gdańsk)

Ostrzeżenie: (0%)
-----

Najprościej: mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual ;] czyli np.

[PHP] pobierz, plaintext 
  1. <?php
  2. mysql_query ('SELECT * FROM `users` WHERE `login` = "'.mysql_real_escape_string($logn).'"');
  3. ?>
[PHP] pobierz, plaintext


htmlspecialchars + strip_tags - nie zabezpieczy Cię przed SQL Inject (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) bo spróbuj np. do zapytania zarzucić: '
- dlatego polecam mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)


Po 2 gie, jak definiujesz zmienne np:

[PHP] pobierz, plaintext 
  1. <?php
  2. $login=htmlspecialchars($_POST['login']); // o to mi chodzi.
  3. $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"';
  4. ?>
[PHP] pobierz, plaintext


To spójrz - dane nieprzefiltrowane się dostaną, bo tylko zmienna $login jest filtrowana. A Ty w zapytaniu do mysql odnosisz się do danych przesłanych w formularzu.

Poprawnie powinno wyglądać:

[PHP] pobierz, plaintext 
  1. <?php
  2. $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P
  3. ?>
[PHP] pobierz, plaintext


Ten post edytował b4x 17.09.2008, 15:33:44
Go to the top of the page
+Quote Post

Posty w temacie
- ArekJ   [PHP][MYSQL]Filtrowanie danych   17.09.2008, 15:08:55
- - b4x   Najprościej: mysql_real_escape_string" title=...   17.09.2008, 15:31:10
- - ArekJ   A czemu tutaj: [PHP] pobierz, plaintext <?php$...   17.09.2008, 15:46:56
- - b4x   Ja bym to tak zrobił [PHP] pobierz, plaintex...   17.09.2008, 15:53:00
- - ArekJ   Dobra jak wrócę do domu to sprawdze czy działa, a...   17.09.2008, 15:57:46
- - b4x   "I jeszcze pytanie o inne formy zabezpieczani...   17.09.2008, 16:01:44
- - ArekJ   I to samo muszę zastosować do maila?   17.09.2008, 16:02:40
- - b4x   Jeśli chcesz, to możesz. Ale widzę że do maila mas...   17.09.2008, 16:05:20
- - ArekJ   A hasło też mam filtrować? P.S. A z tej strony co...   17.09.2008, 20:09:50
|- - morwo   Przydałby się jeszcze kurs czytania angi...   18.09.2008, 13:51:39
- - ArekJ   Dzięki, na tym poziomie to znam angielski, ale nie...   18.09.2008, 19:00:47

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 2.10.2025 - 22:11
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn