[PHP][MYSQL]Filtrowanie danych

[PHP][MYSQL]Filtrowanie danych, Czy dobrze użyte?

ArekJ Zobacz profil	17.09.2008, 15:08:55 Post #1
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	Witam, mam pytanie, czy dobrze zastosowałem filtrowanie danych w tym skrypcie(błędów nie wywala, ale nie wiem jak sprawdzić czy filtruje). A oto kod: [PHP] pobierz, plaintext <?php els: dbConnect('xxx'); $login=htmlspecialchars($_POST['login']); $haslo=htmlspecialchars($_POST['haslo']); $email=htmlspecialchars($_POST['email']); $login=strip_tags($_POST['login']); $haslo=strip_tags($_POST['haslo']); $email=strip_tags($_POST['email']); if (!check_email($_POST['email']) \|\| $_POST['login']=='' \|\| $_POST['haslo']=='' \|\| $_POST['email']=='') { error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe błęd: \n'.'-puste pole,\n'.'-błędny e-mail.'); } $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"'; $result = mysql_query($sql); if (!$result) { error('Błąd w zapytaniu SQL'); } if (@mysql_result($result,0,0)>0) { error('Wybrany login jest zajęty. \n'. 'Proszę wpisać inny login. '); } $sql = 'INSERT INTO uzytkownik SET login = "'.$_POST['login'].'", haslo = md5("'.$_POST['haslo'].'"), email = "'.$_POST['email'].'"'; if (!mysql_query($sql)) error('Błąd w zapytaniu SQL'); echo('<HTML> <HEAD> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> <TITLE>Rejestracja zakończona</TITLE> <STYLE type=\"text/css\"> <!-- BODY, { font: 8pt; font-famil: Verdana, Arial; text-decoratio: none } --> </STYLE> </HEAD> <BODY> <P><B>Rejestracja zakończona pomyślnie!</B></P> <P>Logi: <B>'.$_POST['login'].'</B><BR> Hasło: <B>'.$_POST['haslo'].'</B></P> '); endif ?> [PHP] pobierz, plaintext I mam jeszcze pytanie o inne metody zabezpieczania i o wskazówki jak je zastosować (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Odpowiedzi

ArekJ Zobacz profil	17.09.2008, 20:09:50 Post #2
Grupa: Zarejestrowani Postów: 266 Pomógł: 9 Dołączył: 21.05.2008 Skąd: Łomianki Ostrzeżenie: (0%)	A hasło też mam filtrować? P.S. A z tej strony co podałeś to się dowiedziałem jakie funkcje odpowiadają za filtrowanie (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) EDIT: Nie działa :/ Gdy daje [PHP] pobierz, plaintext <?php $login = htmlspecialchars(strip_tags($_POST['login'])); $haslo = md5($_POST['haslo']); $email = htmlspecialchars(strip_tags($_POST['email'])); if (!check_email($_POST['email']) \|\| $_POST['login']=='' \|\| $_POST['haslo']=='' \|\| $_POST['email']=='') { error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#28: \n'.'-puste pole,\n'.'-błędny e-mail.'); } $sql = 'SELECT COUNT() FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; $result = mysql_query($sql); if (!$result) { error('Błąd w zapytaniu SQL'); } if (@mysql_result($result,0,0)>0) { error('Wybrany login jest zajęty. \n'. 'Proszę wpisać inny login. '); } $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"'; if (!mysql_query($sql)) error('Błąd w zapytaniu SQL'); echo('<HTML> <HEAD> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> <TITLE>Rejestracja zakończona</TITLE> <STYLE type=\"text/css\"> <!-- BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none } --> </STYLE> </HEAD> <BODY> <P><B>Rejestracja zakończona pomyślnie!</B></P> <P>Lo: <B>'.$login.'</B><BR> Hasło: <B>'.$haslo.'</B></P> '); ?> [PHP] pobierz, plaintext To wywala: Kod Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94 Jakieś pomysły? Ten post edytował ArekJ* 17.09.2008, 20:48:09

morwo Zobacz profil	18.09.2008, 13:51:39 Post #3
Grupa: Zarejestrowani Postów: 13 Pomógł: 1 Dołączył: 31.05.2006 Ostrzeżenie: (0%)	Przydałby się jeszcze kurs czytania angielskiego ze zrozumieniem (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Cytat(ArekJ @ 17.09.2008, 21:09:50 ) Kod Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94 Pozwolicie, że przetłumacze "po swojemu", bo angielski mój nie najlepszy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Cytat Kod Błąd krytyczny: Wywołano niezdefiniowaną funkcje mysql_real_escape() w /home/accounts_a/arekj/public_html/rejestracja.php w linii 94 Czaisz? Jesli sam nie napisałeś, to funkcja mysql_real_escape() nie istnieje. Koledzy wyżej pisali o funkcji mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual, którą kilka razy zastosowałeś w wyżej wymienionym skrypcie. Poza tym przeważnie używam htmlentities()" title="Zobacz w manualu PHP" target="_manual z odpowiednimi parametrami i z tego, co się orientuje równie dobrze mnie zabezpieczy przed SQLInjection, jak mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował morwo 18.09.2008, 13:52:22

Posty w temacie

ArekJ [PHP][MYSQL]Filtrowanie danych 17.09.2008, 15:08:55

b4x Najprościej: mysql_real_escape_string" title=... 17.09.2008, 15:31:10

ArekJ A czemu tutaj: [PHP] pobierz, plaintext <?php$... 17.09.2008, 15:46:56

b4x Ja bym to tak zrobił [PHP] pobierz, plaintex... 17.09.2008, 15:53:00

ArekJ Dobra jak wrócę do domu to sprawdze czy działa, a... 17.09.2008, 15:57:46

b4x "I jeszcze pytanie o inne formy zabezpieczani... 17.09.2008, 16:01:44

ArekJ I to samo muszę zastosować do maila? 17.09.2008, 16:02:40

b4x Jeśli chcesz, to możesz. Ale widzę że do maila mas... 17.09.2008, 16:05:20

ArekJ A hasło też mam filtrować? P.S. A z tej strony co... 17.09.2008, 20:09:50

morwo Przydałby się jeszcze kurs czytania angi... 18.09.2008, 13:51:39

ArekJ Dzięki, na tym poziomie to znam angielski, ale nie... 18.09.2008, 19:00:47

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl