Hej napisałem sobie skrypt na dodawanie adresu ip do firewalla, poprzez link który przychodzi na email, powie mi ktoś czy taki skrypt jest bezpieczny? czy jednak nie, jestem nowy w tym świecie dopiero się uczę więc na pewno coś jest źle, a czytałem o ataku SQL INJECTION i się wystraszyłem :/
<?php require_once('../glowne/ustawienia.php'); require_once('connect.php'); $email_odbiorcy = $_GET["email"]; $kod = $_GET['kod']; $ip = $_SERVER['REMOTE_ADDR']; $link_aktywacja = "xxxx"; $komenda = 'iptables -I bungee 1 -s '.$ip.' -j ACCEPT'; $komenda1 = 'iptables-save > /etc/iptables/rules.v4'; $komenda2 = 'iptables-restore /etc/iptables/rules.v4'; $sql = "SELECT id, ip, kod, email FROM uzytkownicy WHERE kod='$kod' AND email='$email_odbiorcy'"; $result = $conn->query($sql); if ($result->num_rows > 0) { $status = 'xxxxxxxxx'; $polaczenie = ssh2_connect($serwer, 22); ssh2_auth_password($polaczenie, $login, $haslo); $stream = ssh2_exec($polaczenie, $komenda); $stream = ssh2_exec($polaczenie, $komenda1); $stream = ssh2_exec($polaczenie, $komenda2); http://www.php.net/stream_set_blocking($stream, true); $wynik = stream_get_contents($stream); ssh2_exec($polaczenie, 'exit'); http://www.php.net/unset($polaczenie); $usuwanie = "DELETE FROM uzytkownicy WHERE kod='$kod' AND email='$email_odbiorcy'"; $result = $conn->query($usuwanie); } else { $status = 'xxxxx'; } $conn->close(); ?>
https://prophp.pl/advice/show/25/jak_zabezpieczyc_sie_przed_atakiem_sql_injection%3F
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)