Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL][PHP] Czy ten kod jest bezpieczny?
Michal2451
post
Post #1





Grupa: Zarejestrowani
Postów: 65
Pomógł: 0
Dołączył: 4.12.2010

Ostrzeżenie: (0%)
-----

Cześć! Zrobiłem stronę z logowaniem, rejestracją i... rangami/uprawnieniami.
Przy każdym użytkowniku jest kolumna ranga.
1 = user
5 = mod
9 = admin

I teraz mam np. lewe menu:

[PHP] pobierz, plaintext 
  1. <?php include('config1.php');
  2.  
  3. if( ("$t[1]") == 1) {
  4. echo ' <div class="box">
  5.                 <h3>Panel</h3>
  6.                 <ul>
  7.                     <li><a href="#">Dodaj</a></li>
  8.                     <li><a href="#">Usuń</a></li>
  9. 					<li><a href="#">Zmień</a></li>
  10.                     <li><a href="#">Mój profil</a></li>
  11. 					<li><a href="logi.php">Logs/Newsy</a></li>
  12.                 </ul>
  13.             </div>';
  14. } elseif( ("$t[1]") == 9) {
  15. echo ' <div class="box">
  16.                 <h3>Panel</h3>
  17.                 <ul>
  18.                     <li><a href="login.php">Logowanie</a></li>
  19.                     <li><a href="register.php">Rejestracja</a></li>
  20. 					<li><a href="logi.php">Logs/Newsy</a></li>
  21. 					<li><a href="#">Dodaj</a></li>
  22.                     <li><a href="#">Usuń</a></li>
  23. 					<li><a href="#">Zmień</a></li>
  24.                     <li><a href="#">Mój profil</a></li>
  25.                 </ul>
  26.             </div>';
  27. 			echo ' <div class="box">
  28.                 <h3>Użytkownicy</h3>
  29.                 <ul>
  30.                     <li><a href="users.php">Zarejestrowani</a></li>
  31.                     <li><a href="znajdz.php">ZnajdĽ</a></li>
  32.                     <li><a href="usun.php">Usuń</a></li>
  33. 					<li><a href="edytuj.php">Ranga</a></li>
  34.                 </ul>
  35.             </div>';
  36. 	} elseif( ("$t[1]") == 5) {
  37. echo ' <div class="box">
  38.                 <h3>Panel</h3>
  39.                 <ul>
  40.                     <li><a href="#">Strefa moderatora</a></li>
  41. 					<li><a href="#">Dodaj</a></li>
  42.                     <li><a href="#">Usuń</a></li>
  43. 					<li><a href="#">Zmień</a></li>
  44.                     <li><a href="#">Mój profil</a></li>
  45. 					<li><a href="logi.php">Logs/Newsy</a></li>
  46.                 </ul>
  47.             </div>';
  48. 		} else {
  49. 		echo ' <div class="box">
  50.                 <h3>Panel</h3>
  51.                 <ul>
  52.                     <li><a href="login.php">Logowanie</a></li>
  53.                     <li><a href="register.php">Rejestracja</a></li>
  54. 					<li><a href="logi.php">Logs/Newsy</a></li>
  55.                 </ul>
  56.             </div>'; 
  57. 			};
  58.  
  59.  
  60.  
  61.  
  62.  
  63. ?>
[PHP] pobierz, plaintext


I plik config1.php:
[PHP] pobierz, plaintext 
  1. <?php include('login.php');
  2. $sql_conn = mysql_connect('xxx', 'xxx', 'xxx')
  3. or die('Błąd podczas łączenia z bazą danych');
  4.  
  5. mysql_select_db('xxx');
  6.  
  7. $zapytanie = "SELECT `login`,`ranga` FROM `users` WHERE `login`='$nazwa'";
  8. $idzapytania = mysql_query($zapytanie);
  9. $t = mysql_fetch_row($idzapytania);
  10. ?>
[PHP] pobierz, plaintext

I kod zakładek dla odpowiednich osób:
[PHP] pobierz, plaintext 
  1. <?php include('config1.php');
  2.  
  3. if( ("$t[1]") == 9) {
  4.  
  5. Treść dla administratora
  6.  
  7. 					} else {
  8. 					echo '<center><BR><BR><BR>To nie miejsce dla ciebie...';
  9. 					echo '<meta http-equiv="refresh" content="1; url=index.php">';
  10. 					};
  11. ?>
[PHP] pobierz, plaintext


Czy to jest bezpieczne? Tak żeby jakiś zwykły user nie mógł zobaczyć zakładek dla administratora oraz do nich wejść.

ps. ja jestem autorem kodu, żeby nie było, że kopiuję od kogoś (IMG:style_emoticons/default/winksmiley.jpg)

Ten post edytował Michal2451 3.01.2011, 20:38:19
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
wookieb
post
Post #2





Grupa: Moderatorzy
Postów: 8 989
Pomógł: 1550
Dołączył: 8.08.2008
Skąd: Słupsk/Gdańsk
Cytat(Michal2451 @ 3.01.2011, 20:45:45 ) *
Niestety nie wdrożyłem jeszcze tego (IMG:style_emoticons/default/tongue.gif)

To po co się pytasz skoro nie znasz jakichkolwiek podstaw bezpieczeństwa?
http://forum.php.pl/index.php?showtopic=30...stwo+skrypt%F3w
I jeszcze jeszcze parę tematów o SQL injection na forum.
Go to the top of the page
+Quote Post

Posty w temacie
- Michal2451   [MySQL][PHP] Czy ten kod jest bezpieczny?   3.01.2011, 20:37:03
- - cojack   Podaj adres strony, to Ci zaraz pokaże jakie to je...   3.01.2011, 20:39:07
- - daros17   Poczytaj o sql injection   3.01.2011, 20:45:37
- - Michal2451   Niestety nie wdrożyłem jeszcze tego Ale jeśli to...   3.01.2011, 20:45:45
- - cojack   $zapytanie = "SELECT `login`,...   3.01.2011, 20:48:54
- - wookieb   Cytat(Michal2451 @ 3.01.2011, 20:45:4...   3.01.2011, 20:49:58
- - Michal2451   Kto pyta nie błądzi, a fakt, że jestem początkując...   3.01.2011, 20:53:44
- - Mephistofeles   PDO + prepared statements, tak na przyszłość. Do t...   3.01.2011, 20:55:34
- - wookieb   Cytat(Michal2451 @ 3.01.2011, 20:53:4...   3.01.2011, 20:58:20
- - Michal2451   Napisałem to "tak tylko", żeby było wiad...   3.01.2011, 21:08:18

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 13:58
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn