Problem z wyświetleniem danych z bazy MySQL. |
Problem z wyświetleniem danych z bazy MySQL. |
31.12.2014, 10:54:21
Post
#1
|
|
Grupa: Zarejestrowani Postów: 242 Pomógł: 0 Dołączył: 28.11.2014 Ostrzeżenie: (0%) |
Witam,
Napisałem taki kod :
I chcę aby echo "$nick"; wyświetlił nick który znajduję się w tabeli user_name. Gdy wchodzę na stronę pojawia się : Resource id #5 A powinien się wyświetlić nick gracza ( nick to System ). Co robię źle ? Pozdrawiam. |
|
|
31.12.2014, 11:05:26
Post
#2
|
|
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%) |
|
|
|
31.12.2014, 11:10:52
Post
#3
|
|
Grupa: Zarejestrowani Postów: 167 Pomógł: 35 Dołączył: 29.12.2014 Skąd: Otwock Ostrzeżenie: (0%) |
Turson dał dobry link.
Mimo to musisz wszystko zabezpieczyć 1. $_GET['player'] - kazdy Ci może w linku dać co chce i wywalić Ci aplikacje. 2. Zacznij przechodzić na mysqli_*. W wersji PHP 5.5 już dostajesz info, że mysql_* będzie usunięty z języka |
|
|
31.12.2014, 11:44:55
Post
#4
|
|
Grupa: Zarejestrowani Postów: 242 Pomógł: 0 Dołączył: 28.11.2014 Ostrzeżenie: (0%) |
Zabezpieczenie będzie takie że przed wywołaniem jakiejś funkcji trzeba będzie wpisać hasło.
|
|
|
31.12.2014, 11:52:33
Post
#5
|
|
Grupa: Zarejestrowani Postów: 167 Pomógł: 35 Dołączył: 29.12.2014 Skąd: Otwock Ostrzeżenie: (0%) |
Chodzi mi bardziej o zabezpieczenie zapytań do bazy. Wszelkie wrażliwe parametry przekazywane do zapytania powinny być przerabiane na nie inwazyjne.
Coś takiego co Ty tutaj masz pozwala z łatwością zrobić atak na Twoja bazę i narobić nie małych szkód |
|
|
31.12.2014, 12:08:20
Post
#6
|
|
Grupa: Zarejestrowani Postów: 242 Pomógł: 0 Dołączył: 28.11.2014 Ostrzeżenie: (0%) |
Chodzi mi o zrobienie czegoś takiego :
http://185.38.249.105/legal/resetwiezy.php?player=6 Czy w tej sytuacji też jest to niebezpieczne ? |
|
|
31.12.2014, 12:15:20
Post
#7
|
|
Grupa: Zarejestrowani Postów: 167 Pomógł: 35 Dołączył: 29.12.2014 Skąd: Otwock Ostrzeżenie: (0%) |
Jeżeli nie pozwalasz wykonać zapytania z wykorzystaniem tego $_GET['player'] to raczej nie. Aczkolwiek jak ktos poda poprawne hasło możesz mieć problem
Jeżeli wiesz, że wartość wklepana ma byc intem to daj mój (int) |
|
|
Wersja Lo-Fi | Aktualny czas: 24.04.2024 - 08:17 |