Drukowana wersja tematu

Napisany przez: xGlenor 18.07.2019, 20:25:04

Hej napisałem sobie skrypt na dodawanie adresu ip do firewalla, poprzez link który przychodzi na email, powie mi ktoś czy taki skrypt jest bezpieczny? czy jednak nie, jestem nowy w tym świecie dopiero się uczę więc na pewno coś jest źle, a czytałem o ataku SQL INJECTION i się wystraszyłem :/

[PHP] pobierz, plaintext 
<?php
 
 
require_once('../glowne/ustawienia.php');
require_once('connect.php');
 
$email_odbiorcy = $_GET["email"];
$kod = $_GET['kod'];
$ip = $_SERVER['REMOTE_ADDR'];
 
$link_aktywacja = "xxxx";
 
$komenda = 'iptables -I bungee 1 -s '.$ip.' -j ACCEPT';
$komenda1 = 'iptables-save > /etc/iptables/rules.v4';
$komenda2 = 'iptables-restore /etc/iptables/rules.v4';
 
$sql = "SELECT id, ip, kod, email FROM uzytkownicy WHERE kod='$kod' AND email='$email_odbiorcy'";
$result = $conn->query($sql);
 
if ($result->num_rows > 0) {
  $status = 'xxxxxxxxx';
	$polaczenie = ssh2_connect($serwer, 22);
	ssh2_auth_password($polaczenie, $login, $haslo);
	$stream = ssh2_exec($polaczenie, $komenda);
        $stream = ssh2_exec($polaczenie, $komenda1);
        $stream = ssh2_exec($polaczenie, $komenda2);
	http://www.php.net/stream_set_blocking($stream, true);
	$wynik = stream_get_contents($stream);
	ssh2_exec($polaczenie, 'exit');
	http://www.php.net/unset($polaczenie);
	$usuwanie = "DELETE FROM uzytkownicy WHERE kod='$kod' AND email='$email_odbiorcy'";
	$result = $conn->query($usuwanie);
} else {
    $status = 'xxxxx';
}
$conn->close();
?>
[PHP] pobierz, plaintext 

Z góry dziękuje za pomoc, czy też nakierowanie na rozwiąznie problemu

Napisany przez: viking 18.07.2019, 21:10:08

https://prophp.pl/advice/show/25/jak_zabezpieczyc_sie_przed_atakiem_sql_injection%3F