czy takie sposób jest dobry?

czy takie sposób jest dobry?

john_doe Zobacz profil	26.05.2009, 14:45:04 Post #1
Grupa: Zarejestrowani Postów: 873 Pomógł: 25 Dołączył: 24.07.2005 Ostrzeżenie: (0%)	Witajcie, napisałem dziś logowanie. Napiszcie czy jest ok? Ogólnie działa ale, że działa to nie wszystko. Co byście zmienili? Co robię źle i bez sensu? czy idea jest oki? Czy idzie ten kod jakoś obejść i wejść mimo logowania na stronę? poniżej kod z komentarzem [PHP] pobierz, plaintext <?php session_start(); include ('db/conection.php'); // łącze się z db za pomocą PDO include('querries/confQuerries.php'); // tutaj plik z zapytaniami SQL $howMany = $dbh -> query($COUNT_LOGIN_USERS); // tutaj zapytanie count(*) where $_POST['login'] foreach( $howMany as $k ) { $count = $k[0]; } if ( $count == 1 ) // jeśli zapytanie zwróciło jeden wiersz { foreach ( $dbh -> query( $SELECT_USER ) as $row ) // wybieram wszystkie dane usera where $_POST['login'] { if ( $_POST['login'] == $row[1] && $_POST['pass'] == $row[2] ) // jeśli wpisany login odpowiada loginowi w bazie i wpisane haslo odpowiada temu z bazy przypisuje wynik zapytania do sesji { $_SESSION['id'] = $row[0]; $_SESSION['login'] = $row[1]; $_SESSION['pass'] = $row[2]; $_SESSION['name'] = $row[3]; $_SESSION['surname'] = $row[4]; $_SESSION['nickname'] = $row[5]; $_SESSION['level'] = $row[6]; $_SESSION['xlid'] = $row[7]; $_SESSION['region'] = $row[8]; $_SESSION['logIn'] = 1; $output = getdate(); $loginAim = $output[year] . '-' . $output[mon] . '-' . $output[mday] . ', ' . $output[hours] . ':' . $output[minutes] . ':' . $output[seconds]; include('querries/confQuerries.php'); if ( $_SESSION['xlid'] != 5555555 ) // nie loguje ADMINA { $dbh -> query( $INSERT_LOGGED_USER ); // log kto i kiedy sie zalogował foreach( $dbh -> query( $SELECT_LAST_INSERT_ID_PER_USER ) as $row ) { $_SESSION['sessionIdLogger'] = $row[0]; } } header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . mainView.'.'.php ); // jesli wszystko ok to kieruje na stronę jakąś tam dostępną po zalogowaniu poprawnym exit; }else { header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . index.'.'.php ); // jeśli coś nie tak to kieruje na stronę logowania exit; } } }else header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . index.'..php ); ?> [PHP] pobierz, plaintext

Odpowiedzi

john_doe Zobacz profil	26.05.2009, 22:21:16 Post #2
Grupa: Zarejestrowani Postów: 873 Pomógł: 25 Dołączył: 24.07.2005 Ostrzeżenie: (0%)	wpisałem w pole login ' OR '1'='1 a w pole haslo -- by zakometować resztę zapytania i dostałem komunikat Warning: Invalid argument supplied for foreach() in C:\wamp\www\..........................php on line 11 Warning: Cannot modify header information - headers already sent by (output started at C:\wamp\www\...........................................php:11) in C:\wamp\www\.........................php on line 63 czy wystarczy gdy w zapytaniu SQL dodam przed $_POST htmlspecialchars lub mysql_real_escape_string (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) w 1szej kolejności chcę ustrzec się przed SQL Injection. dzięki za odpowiedzi. Otwieracie mi oczy <gitara> i jeszcze jedno jak w takim razie zapakować wynik zapytania do sesji skoro robię to jak chłopu na wsi? Ten post edytował john_doe 26.05.2009, 22:50:38

Posty w temacie

john_doe czy takie sposób jest dobry? 26.05.2009, 14:45:04

no-scared Cytattutaj zapytanie count(*) where $_POST[... 26.05.2009, 14:47:12

john_doe [PHP] pobierz, plaintext <?php$COUNT_LOGIN_USER... 26.05.2009, 14:49:49

pyro Podatne na SQL Injection. Możliwość obejścia logow... 26.05.2009, 14:59:33

bim2 [PHP] pobierz, plaintext <?php$dbh -> query... 26.05.2009, 15:00:31

john_doe pyro jak taki skrypt można obejść możesz napisać. ... 26.05.2009, 15:06:29

bim2 wpisz Cytat' OR '1'='1 26.05.2009, 16:33:57

fifi209 od czego masz prepare, bindValue, bindParam ? ... 26.05.2009, 17:14:23

Crozin Po co najpierw pobierasz ilość rekordów dla login ... 26.05.2009, 20:13:13

fifi209 Cytat(Crozin @ 26.05.2009, 21:13:13 )... 27.05.2009, 06:18:51

john_doe wpisałem w pole login ' OR '1'=... 26.05.2009, 22:21:16

erix Cytatdzięki za odpowiedzi. Otwieracie mi oczy ... 26.05.2009, 22:59:33

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 27.12.2025 - 15:01

Hosting zapewnia

Forum PHP.pl