Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[MySQL][PHP] Sonda

dg2001 Zobacz profil	25.07.2010, 14:34:24 Post #1
Grupa: Zarejestrowani Postów: 71 Pomógł: 12 Dołączył: 9.01.2008 Skąd: Olkusz Ostrzeżenie: (0%)	Witam, jako ze pierwszy raz wrzucam swój kod na te forum, proszę o wyrozumiałość. Ostatnio potrzebny był mi skrypt sondy, jednak wszystkie skrypty dostępne w internecie nie za bardzo mnie zadowoliły, wiec postanowiłem napisać sam coś swojego. Więc tu moja prośba, o ocenę mojego skryptu [PHP] pobierz, plaintext <?php //@autor: Dominik Gawenda //@wersja: 1.0 \| 2010-07-20 //@skrypt sondy if($mod_sonda !=0) { if(isset($_POST['glosuj'])) { $sonda_id = $_POST['sonda_id']; $pozycja_sondy = $_POST['sonda']; $sSql = mysql_query("SELECT id,ilosc_glosow FROM sonda WHERE id = '".$sonda_id."' "); $sDane = mysql_fetch_assoc($sSql); $nowa_ilosc_glosow = $sDane['ilosc_glosow'] + 1; $ssSql = mysql_query("SELECT id,ilosc_glosow FROM sonda_dane WHERE id = '".$pozycja_sondy."' "); $ssDane = mysql_fetch_assoc($ssSql); $nowa_ilosc_glosow_pozycja = $ssDane['ilosc_glosow'] + 1; setcookie('sonda'.$sDane['id'], $sDane['id'], time()+606024365); $update1 = mysql_query("UPDATE sonda SET ilosc_glosow = '".$nowa_ilosc_glosow."' WHERE id=".$sDane['id']." "); $update2 = mysql_query("UPDATE sonda_dane SET ilosc_glosow = '".$nowa_ilosc_glosow_pozycja."' WHERE id = '".$ssDane['id']."' "); header('Location: '.$config_url); exit(); } $sSql = mysql_query("SELECT FROM sonda WHERE aktywny = '1' "); $sIle = mysql_num_rows($sSql); if($sIle != 0) { while ($sDane = mysql_fetch_assoc($sSql)) { echo '<div class="box1">'; echo '<div style="text-align:center;padding-bottom:10px;"><b>'.$sDane['nazwa'].'</b><br />'.$sDane['opis'].'</div>'; $ssSql = mysql_query("SELECT * FROM sonda_dane WHERE id_sonda = '".$sDane['id']."' "); if(isset($_COOKIE['sonda'.$sDane['id']])) { while ($ssDane = mysql_fetch_assoc($ssSql)) { $procent = @round(($ssDane['ilosc_glosow'] / $sDane['ilosc_glosow']) * 100); echo '<div><b>'.$ssDane['pytanie'].'</b> ('.$procent.'%)<div style="background:#ff7e01;width:'.$procent.'%;height:10px;margin:5px 0px 5px 0px;"></div></div>'; } } else { echo '<form action="'.$SCRIPT_NAME.'" method="post" name="sonda">'; while ($ssDane = mysql_fetch_assoc($ssSql)) { echo '<div style="padding:5px;"><input type="hidden" name="sonda_id" value="'.$sDane['id'].'" /><input type="radio" name="sonda" value="'.$ssDane['id'].'" /> <b>'.$ssDane['pytanie'].'</b></div>'; } echo '<input type="submit" name="glosuj" value="GŁOSUJ" class="sz_buton"><br style="clear:both" /></form>'; } echo '<div style="text-align:center;padding-top:10px;">Głos oddało: '.$sDane['ilosc_glosow'].' '.Osoby($sDane['ilosc_glosow']).'</div></div>'; } } } ?> [PHP] pobierz, plaintext Powyżej skrypt sondy, bez panelu administracyjnego, gdyż jeszcze nie zrobiłem go Poniżej prezentacja tabel bazy Tabela SONDA [SQL] pobierz, plaintext -- -- Struktura tabeli dla `sonda` -- CREATE TABLE IF NOT EXISTS `sonda` ( `id` tinyint(4) NOT NULL AUTO_INCREMENT, `nazwa` varchar(250) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL, `opis` text CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL, `ilosc_glosow` int(11) NOT NULL, `autor` varchar(250) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL, `data_od` date NOT NULL, `data_do` date NOT NULL, `aktywny` tinyint(1) NOT NULL, PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=3 ; [SQL] pobierz, plaintext i dla tabeli SONDA_DANE [SQL] pobierz, plaintext CREATE TABLE IF NOT EXISTS `sonda_dane` ( `id` tinyint(4) NOT NULL AUTO_INCREMENT, `id_sonda` tinyint(4) NOT NULL, `pytanie` varchar(250) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL, `ilosc_glosow` int(11) NOT NULL, `aktywny` tinyint(1) NOT NULL, PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 ROW_FORMAT=DYNAMIC AUTO_INCREMENT=9 ; [SQL] pobierz, plaintext Ktoś zapyta dlaczego w dwóch tabelach? Dla tego gdyż skrypt przygotowany dla więcej niże 1 sondy, dlatego opis sondy jest trzymany w osobnej tabeli niż dane dla sondy. Proszę o ocenę mojego skryptu i ewentualne uwagi co by poprawić. Zastanawiam się jeszcze jak by można mocniej zabezpieczyć sondę, gdyż aktualnie korzysta wyłącznie z ciasteczek. Myślałem jeszcze od zapisywaniu adresów IP w pliku (nie chce zaśmiecać tym bazy) i ewentualnie również sprawdzać czy z takiego IP już głosowano w przypadku ręcznego usunięcia ciastka Pozdrawiam

krzysztof_kf Zobacz profil	25.07.2010, 14:44:28 Post #2
Grupa: Zarejestrowani Postów: 1 135 Pomógł: 158 Dołączył: 19.03.2009 Skąd: Toruń Ostrzeżenie: (0%)	Podatne na sql injection możesz dodać po if takie coś . [PHP] pobierz, plaintext else { $sonda_id = mysql_real_escape_string($sonda_id); $pozycja_sondy = mysql_real_escape_string($pozycja_sondy); [PHP] pobierz, plaintext

dg2001 Zobacz profil	25.07.2010, 15:10:57 Post #3
Grupa: Zarejestrowani Postów: 71 Pomógł: 12 Dołączył: 9.01.2008 Skąd: Olkusz Ostrzeżenie: (0%)	Czyli zrobić np tak? [PHP] pobierz, plaintext $sonda_id = mysql_real_escape_string($_POST['sonda_id']); $pozycja_sondy = mysql_real_escape_string($_POST['sonda']); [PHP] pobierz, plaintext

thomson89 Zobacz profil	25.07.2010, 15:12:42 Post #4
Grupa: Zarejestrowani Postów: 1 178 Pomógł: 51 Dołączył: 7.01.2009 Skąd: Gdańsk Ostrzeżenie: (0%)	Ale skoro to sonda, to ja nie widzę możliwości przeprowadzenia ataku z poziomu inputa typu radio. Ale mogę się mylić. -------------------- Sklep 70%

krzysztof_kf Zobacz profil	25.07.2010, 15:12:49 Post #5
Grupa: Zarejestrowani Postów: 1 135 Pomógł: 158 Dołączył: 19.03.2009 Skąd: Toruń Ostrzeżenie: (0%)	Podałem ci już gotowa formułkę .

dg2001 Zobacz profil	25.07.2010, 15:45:36 Post #6
Grupa: Zarejestrowani Postów: 71 Pomógł: 12 Dołączył: 9.01.2008 Skąd: Olkusz Ostrzeżenie: (0%)	A jakby sprawdzać czy wysłane wartości w $_POST są to wartości numeryczne ? Gdyż za pośrednictwem tych wartości przekuje się tylko ID sondy i ID wpisu w sondzie, nic więcej. Więc może takie coś: [PHP] pobierz, plaintext if(isset($_POST['glosuj'])) { if(is_numeric($_POST['sonda_id']) && is_numeric($_POST['sonda'])) { //sprawdza czy $_POST jest liczbą $sonda_id = mysql_real_escape_string($_POST['sonda_id']); $pozycja_sondy = mysql_real_escape_string($_POST['sonda']); $sSql = mysql_query("SELECT id,ilosc_glosow FROM sonda WHERE id = '".$sonda_id."' "); $sDane = mysql_fetch_assoc($sSql); $nowa_ilosc_glosow = $sDane['ilosc_glosow'] + 1; $ssSql = mysql_query("SELECT id,ilosc_glosow FROM sonda_dane WHERE id = '".$pozycja_sondy."' "); $ssDane = mysql_fetch_assoc($ssSql); $nowa_ilosc_glosow_pozycja = $ssDane['ilosc_glosow'] + 1; setcookie("sonda".$sDane['id'], $sDane['id'], time()+606024365); $update1 = mysql_query("UPDATE sonda SET ilosc_glosow = '".$nowa_ilosc_glosow."' WHERE id=".$sDane['id']." "); $update2 = mysql_query("UPDATE sonda_dane SET ilosc_glosow = '".$nowa_ilosc_glosow_pozycja."' WHERE id = '".$ssDane['id']."' "); header("Location: index.php"); exit(); } else { header("Location: index.php"); exit(); } } [PHP] pobierz, plaintext Ten post edytował dg2001* 25.07.2010, 15:48:43

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 13.07.2025 - 13:56

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn