Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [Access][MySQL][PHP] Zabezpieczenia
-rafor4-
post
Post #1





Goście
Siemka. Mam pytanie. Czy dobrze zabezpieczyłem skrypt rejestracji przed ewentualnymi atakami ?

[PHP] pobierz, plaintext 
  1. if ($_POST['klasa']==1){
  2. 	if (empty($_POST['login']) || empty ($_POST['klasa']) || empty($_POST['haslo']) || empty($_POST['email'])) echo 'Wypełnij wszystkie pola!';
  3. 	else
  4. 	{
  5. 		$login = htmlspecialchars(strip_tags($_POST['login']));
  6. 		$login2 = htmlspecialchars(strip_tags($_POST['login']));
  7. 		$klasa = htmlspecialchars(strip_tags($_POST['klasa']));
  8. 		$haslo = htmlspecialchars(strip_tags($_POST['haslo']));
  9. 		$email = htmlspecialchars(strip_tags($_POST['email']));
  10. 		if (!ctype_alnum($login) ) echo 'To nie jest poprawna nazwa użytkownika!';
  11. 		else if (! filter_var($email,FILTER_VALIDATE_EMAIL) ) echo 'To nie jest poprawny email!';
  12. 		else
  13. 		{
  14. 			if (row("SELECT id FROM users WHERE login = mysql_real_escape_string($login) OR email='.mysql_real_escape_string($email).'") ) echo 'Nazwa użytkownika/email jest już zajęta';
  15. 			else
  16. 			{
  17. 				addslashes(mysql_query("INSERT into users (login,haslo,email,klasa) VALUES ('$login',md5('$haslo'),'$email','$klasa')"));
  18. 				addslashes(mysql_query("INSERT into statystyki (login2,sila,szybkosc,inteligencja,zrecznosc,wytrzymalosc,uniki,obrazenia) VALUES ('$login2','9','5','6','4','7','4','25')"));
  19. 				echo 'Konto zostało założone!<br>';
  20. 				echo '<br>Zostałeś Wojownikiem!';
  21. 				echo '<br><a href="index.php">-Powrot</a><br> ';
  22. 			}
  23. 		}
  24. 	}
  25. }
[PHP] pobierz, plaintext


Kiedy przy dodawaniu zmiennych do bazy tutaj:
[PHP] pobierz, plaintext 
  1. addslashes(mysql_query("INSERT into users (login,haslo,email,klasa) VALUES ('$login',md5('$haslo'),'$email','$klasa')"));
[PHP] pobierz, plaintext


zamiast '$login' wpisuję '.mysql_real_escape_string($login).' wtedy do bazy zapisuje się np. .mysql_real_escape_string(maselko492). Nie wiem czy jest to potrzebne, gdy już wcześniej zmienną login przefiltrowałem na obecność kodu php i html, jednak proszę o poradę (IMG:style_emoticons/default/wink.gif)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
CuteOne
post
Post #2





Grupa: Zarejestrowani
Postów: 2 958
Pomógł: 574
Dołączył: 23.09.2008
Skąd: wiesz, że tu jestem?

Ostrzeżenie: (0%)
-----

1. addslashes(mysql_query( a co to za dziwadło... dodajesz slashe do TRUE/FALSE ?

[PHP] pobierz, plaintext 
  1.  
  2. $login = mysql_real_escape_string($login);
  3. $email = mysql_real_escape_string($email);
  4. $klasa = mysql_real_escape_string($klasa);
  5.  
  6. mysql_query("INSERT INTO users (login,haslo,email,klasa) VALUES ('$login',md5('$haslo'),'$email','$klasa')");
[PHP] pobierz, plaintext


2. SELECT id FROM users WHERE login = mysql_real_escape_string($login) jest kodem PHP nie mysql, więc używaj go tak jak w pkt 1

3. Usuwanie html itp. używa się przy wyświetlaniu danych
Go to the top of the page
+Quote Post

Posty w temacie
- rafor4   [Access][MySQL][PHP] Zabezpieczenia   16.01.2012, 22:22:32
- - CuteOne   1. addslashes(mysql_query( a co to za dziwadło... ...   17.01.2012, 02:01:55
- - rafor4   [PHP] pobierz, plaintext if ($_POST['klasa...   17.01.2012, 12:28:06
- - rafor4   Sory, że 2 post ale nie moge edytować. Czytałem, ż...   17.01.2012, 12:31:27
- - rafor4   Czyli jeśli jest np. zmienna: $gracz = mysql_...   17.01.2012, 16:28:11
- - rafor4   Refresh   20.01.2012, 11:35:04

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 08:08
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn