Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]filtrowanie zmiennych z paska adresu
Testosteron
post
Post #1





Grupa: Zarejestrowani
Postów: 113
Pomógł: 2
Dołączył: 15.09.2011

Ostrzeżenie: (0%)
-----

Witam. Napisałem taki oto szkielet skryptu weryfikacji adresu email:

[PHP] pobierz, plaintext 
  1. <?php
  2. include('lang\polish.inc');
  3. include('function.inc');
  4. $code = substr($_GET['v'], 0, 10);
  5. $id = substr($_GET['v'], 10);
  6.  
  7. connect();
  8. $weryfikacja = mysql_query("SELECT id, code FROM users WHERE id='" .$id. "' and code='" .$code. "'");
  9. $potwierdzenie = mysql_num_rows($weryfikacja);
  10.  
  11. If($potwierdzenie == 1)
  12. {
  13. 	$aktywuj = mysql_query("UPDATE users SET activate='1' WHERE id = '" .$id. "'");
  14.  
  15. 	If ($aktywuj)
  16. 	{
  17. 		echo 'Konto zostało aktywowane';
  18. 	}
  19. 	else
  20. 	{
  21. 		echo 'Wystąpił nieoczekiwany błąd. Nie udało się aktywować konta';
  22. 	}
  23. }
  24. else
  25. {
  26. 	echo 'Nieprawidłowy kod aktywacyjny';
  27. }
  28.  
  29. ?>
[PHP] pobierz, plaintext

Kod działa poprawnie. Problem powstaje w momencie, kiedy chcę sprawdzić poprawność zmiennych, np. funkcją is_int. Za każdym razem funkcja zwraca wartość false. Dlaczego tak się dzieje?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Testosteron
post
Post #2





Grupa: Zarejestrowani
Postów: 113
Pomógł: 2
Dołączył: 15.09.2011

Ostrzeżenie: (0%)
-----

Dzięki za pomoc, tylko nie rozumiem jednego. Jeżeli przesyłam dane z formularza to bezproblemowo mogę użyć funkcji is_int
Cytat
Nie sądzę by w tym przypadku konwersja do int spełniała swoją rolę, bo to nie zweryfikuje danych z GET. Jeśli użytkownik spreparuje link i da np. 12rt6897 to konwersja do int zwróci 12.

Z drugiej jednak strony jeżeli funkcja utnie część kodu spreparowanego przez użytkownika to kod będzie niekompletny i na którymś etapie także zostanie zgłoszony błąd
Go to the top of the page
+Quote Post
b4rt3kk
post
Post #3





Grupa: Zarejestrowani
Postów: 1 933
Pomógł: 460
Dołączył: 2.04.2010
Skąd: Lublin

Ostrzeżenie: (0%)
-----

Cytat(Testosteron @ 6.10.2012, 13:48:40 ) *
Dzięki za pomoc, tylko nie rozumiem jednego. Jeżeli przesyłam dane z formularza to bezproblemowo mogę użyć funkcji is_int

Z drugiej jednak strony jeżeli funkcja utnie część kodu spreparowanego przez użytkownika to kod będzie niekompletny i na którymś etapie także zostanie zgłoszony błąd


Jak wiesz PHP automatycznie nadaje typ zmiennej.

[PHP] pobierz, plaintext 
  1. $variable = $_POST['jakas_nazwa']; // załóżmy ze w POST masz 123, takie przypisanie spowoduje, że zmienna będzie typu int 
  2. echo gettype($variable);
  3. $variable = "$variable"; // a takie przypisanie spowoduje, że zmienna będzie traktowana już jako string
  4. echo gettype($variable);
[PHP] pobierz, plaintext


Poza tym funkcja substr() jak można przeczytać w manualu operuje na stringach i zwracaną wartością jest również string.
Go to the top of the page
+Quote Post
bostaf
post
Post #4





Grupa: Zarejestrowani
Postów: 374
Pomógł: 79
Dołączył: 6.04.2010
Skąd: Ostrów Wielkopolski

Ostrzeżenie: (0%)
-----

Cytat(b4rt3kk @ 6.10.2012, 14:19:50 ) *
[PHP] pobierz, plaintext 
  1. $variable = $_POST['jakas_nazwa']; // załóżmy ze w POST masz 123, takie przypisanie spowoduje, że zmienna będzie typu int
[PHP] pobierz, plaintext

Mogę się mylić bo nie potrafię w manualu znaleźć tej informacji, ale zmienne POST i GET są zawsze stringami. Zatem takie przypisane zwróci również string(3) "123". Nawet jeśli wartość w formularzu będzie przypisana bez cudzysłowów, w taki sposób:
[HTML] pobierz, plaintext 
  1. <input type="hidden" name="jakas_nazwa" value=123>
[HTML] pobierz, plaintext


Znalazłem jeszcze inny sposób na zwalidowanie integera, ale tylko od PHP5.2: użycie funkcji filter_var z rozszerzenia filter:
[PHP] pobierz, plaintext 
  1. $id = filter_var(substr($_GET['v'], 10), FILTER_VALIDATE_INT);
[PHP] pobierz, plaintext
Tej funkcji już się nie da oszukać spreparowanym kodem, bo zwróci false.
Go to the top of the page
+Quote Post

Posty w temacie
- Testosteron   [PHP]filtrowanie zmiennych z paska adresu   6.10.2012, 11:24:17
- - b4rt3kk   Bo w tym momencie $code jest stringiem: [PHP...   6.10.2012, 11:31:01
|- - bostaf   Cytat(b4rt3kk @ 6.10.2012, 12:31:01 )...   6.10.2012, 12:02:34
|- - b4rt3kk   Cytat(bostaf @ 6.10.2012, 13:02:34 ) ...   6.10.2012, 12:12:16
|- - bostaf   Cytat(b4rt3kk @ 6.10.2012, 13:12:16 )...   6.10.2012, 12:54:26
- - Testosteron   Dzięki za pomoc, tylko nie rozumiem jednego. Jeżel...   6.10.2012, 12:48:40
- - b4rt3kk   Cytat(Testosteron @ 6.10.2012, 13:48...   6.10.2012, 13:19:50
- - bostaf   Cytat(b4rt3kk @ 6.10.2012, 14:19:50 )...   6.10.2012, 15:58:51

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 12.10.2025 - 15:50
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn