[MySQL] Zmiana praw użytkowników Opcje

[questr]

Formularz rejestracyjny na mojej stronie łączy się z bazą danych poprzez stworzone przeze mnie konto w phpmyadmin. To konto ma wyłączone wszystkie opcje jakie tylko były. Chciałbym jakoś zabezpieczyć rejestrację tak aby inni użytkownicy nie mogli podglądać innych danych niż swoje. Póki co każdy może zobaczyć ilu jest userów, jakie mają loginy i hasła zakodowane w md5. Jak mogę jakoś ukryć te dane?

[lord2105]

pokaz skrypt?

[questr]

Skrypt rejestracji:

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
include "conn.inc.php";
?>
<html>
<head>
<title>PHP5, Apache i MySQL</title>
</head>
<body>
<?php
if (isset($_POST['submit']) && $_POST['submit'] == "Zarejestruj") {
  if ($_POST['username'] != "" && 
      $_POST['password'] != "" && 
      $_POST['first_name'] != "" && 
      $_POST['last_name'] != "" && 
      $_POST['email'] != "") {
 
    $query = "SELECT username FROM user_info " .
             "WHERE username = '" . $_POST['username'] . "';";
    $result = mysql_query($query) 
      or die(mysql_error());
 
    if (mysql_num_rows($result) != 0) {
?>
<p>
  <font color="#FF0000"><b>Nazwa użytkownika  
  <?php echo $_POST['username']; ?> jest już używana. Proszę wybrać
  inną!</b></font>
  <form action="register.php" method="post">
    Nazwa użytkownika: <input type="text" name="username"><br>
    Hasło: <input type="password" name="password" 
                value="<?php echo $_POST['password']; ?>"><br>
    Adres email: <input type="text" name="email" 
             value="<?php echo $_POST['email']; ?>"><br>
    Imię: <input type="text" name="first_name" 
                  value="<?php echo $_POST['first_name']; ?>"><br>
    Nazwisko: <input type="text" name="last_name" 
                 value="<?php echo $_POST['last_name']; ?>"><br>
    Miasto: <input type="text" name="city" 
            value="<?php echo $_POST['city']; ?>"><br>
    Województwo: <input type="text" name="state" 
             value="<?php echo $_POST['state']; ?>"><br><br>
 
    <input type="submit" name="submit" value="Zarejestruj"> &nbsp; 
    <input type="reset" value="Wyczysć">
  </form>
</p>
<?php
    } else {
      $query = "INSERT INTO user_info (username, password, email, " .
               "first_name, last_name, city, state) " .
               "VALUES ('" . $_POST['username'] . "', " .
               "(PASSWORD('" . $_POST['password'] . "')), '" . 
               $_POST['email'] . "', '" . $_POST['first_name'] .
               "', '" . $_POST['last_name'] . "', '" . $_POST['city'] . 
               "', '" . $_POST['state'] . "');";
      $result = mysql_query($query) 
        or die(mysql_error());
      $_SESSION['user_logged'] = $_POST['username'];
      $_SESSION['user_password'] = $_POST['password'];
?>
<p>
  Dziękujemy, <?php echo $_POST['first_name'] . " " . 
  $_POST['last_name']; ?>, za zarejestrowanie się!<br>
<?php
      header("Refresh: 5; URL=index.php");
      echo "Zakończono proces rejestracji! " .
           "Zostaniesz przeniesiony do oryginalnej storny!<br>";
      echo "(Jesli przeglądarka nie obsługuje przekierowań, " .
           "<a href=\"index.php\">kliknij tutaj</a>)";
      die();
    }
  } else {
?>
<p>
  <font color="#FF0000"><b>Wymagane jest podanie nazwy użytkownika, hasła, 
  adresu email, imienia i nazwiska!</b></font>
  <form action="register.php" method="post">
    Nazwa użytkownika: <input type="text" name="username" 
                value="<?php echo $_POST['username']; ?>"><br>
    Hasło: <input type="password" name="password" 
                value="<?php echo $_POST['password']; ?>"><br>
    Adres email: <input type="text" name="email" 
             value="<?php echo $_POST['email']; ?>"><br>
    Imię: <input type="text" name="first_name" 
                  value="<?php echo $_POST['first_name']; ?>"><br>
    Nazwisko: <input type="text" name="last_name" 
                 value="<?php echo $_POST['last_name']; ?>"><br>
    Miasto: <input type="text" name="city" 
            value="<?php echo $_POST['city']; ?>"><br>
    Województwo: <input type="text" name="state" 
             value="<?php echo $_POST['state']; ?>"><br>
    <br>
    <input type="submit" name="submit" value="Zarejestruj"> &nbsp; 
    <input type="reset" value="Wyczysć">
  </form>
</p>
<?php
  }
} else {
?>
<p>
  Witamy na stronie rejestracji!<br>
  Wymagamy wypełenienia pól nazwy użytkownika, hasła, adresu email,
  imienia i nazwiska!
  <form action="register.php" method="post">
    Nazwa użytkownika: <input type="text" name="username"><br>
    Hasło: <input type="password" name="password"><br>
    Adres email: <input type="text" name="email"><br>
    Imię: <input type="text" name="first_name"><br>
    Nazwisko: <input type="text" name="last_name"><br>
    Miasto: <input type="text" name="city"><br>
    Województwo: <input type="text" name="state"><br>
<br>
    <input type="submit" name="submit" value="Zarejestruj"> &nbsp; 
    <input type="reset" value="Wyczysć">
  </form>
</p>
<?php
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

conn.inc

[PHP] pobierz, plaintext 
<?php
$conn = mysql_connect("localhost", "user", "haslo")
	or die(mysql_error());
$db = mysql_select_db("baza")//nazwa bazy danych
	or die(mysql_error());
?>
[PHP] pobierz, plaintext 

[Mephistofeles]

Póki co każdy może zobaczyć ilu jest userów, jakie mają loginy i hasła zakodowane w md5. J

Dopuszczasz bezpośredni dostęp do bazy? Nikt tego nie zobaczy dopóki mu na to (świadomie lub nie) nie pozwolisz.
Można dla każdego tworzyć osobnego użytkownika MySQL, ale to zazwyczaj nie ma sensu i się do niczego nie przydaje.

[CuteOne]

Hee? ale w tym formularzu nie wysyłasz danych z bazy do formularza [i ogólnie do przeglądarki], więc powiedz mi w jaki sposób ktoś miałby wyświetlić dane innych użytkowników?

No chyba, że mowa o zabezpieczeniach i hackowaniu bazy... ale to już inna bajka - którą polecam przeczytać bo twój skrypt to jedna wielka dziura

[Mephistofeles]

Skorzystaj z PDO i prepared statements, bo faktycznie nie masz żadnej ochrony przed SQL Injection.

[questr]

Do zabezpieczenia tego jeszcze długa droga, ale jeśli ktoś w pliku conn.inc ma bezpośrednio login i hasło do bazy to nie będzie mógł odczytać danych zawartych w bazie? (Wydaje mi się, że drzwi stoją przed nim otworem)
Co do SQL Injection...
Chciałem to później zrobić. Tzn. Najpierw zrobić porządek z bazą i formularzem, a następnie to zabezpieczyć. Oczywiście możecie coś zasugerować do przeczytania jak to dokładnie zrobić tak aby nie było wielu luk

[Mephistofeles]

A niby jak ma uzyskać dostęp do tych danych? Jedynie przez błędy w skrypcie może, czyli od razu zajmij się SQL Injection.

[CuteOne]

1. Zabezpiecz zapytania używając mysql_real_escape_string() lub jak już ktoś wcześniej napisał prepared statements.
2. Wyświetlanie danych, które pośrednio pochodzą od użytkownika zabezpieczaj używając htmlspecialchars()
3. Odpowiednia konfiguracja php.ini [to zostaw na koniec ]
4. Zabezpieczenia sesji [dużo o tym na necie]
5. Zabezpieczenia przed wywołaniem plików bezpośrednio w przeglądarce [np. http://www.example.com/modules/rejestracja...acja_finish.php]

Na necie jest sporo artów opisujących różne techniki zabezpieczeń wystarczy poszukać

[questr]

Dzięki wielkie
W takim układzie zabieram się za zabezpieczanie