Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [SQL][PHP]ochrona przed sql injection-prosze o pomoc, prosze o pomoc bo mi sie juz słabo zrobiło
majka111
post
Post #1





Grupa: Zarejestrowani
Postów: 34
Pomógł: 0
Dołączył: 7.06.2010

Ostrzeżenie: (0%)
-----

Witam

od kilku dni bawie sie w dedektywa i sledzę wszelkie mozliwe rozwiazania ochrony przed sql injection , znalazłem naprawde duzo sposobów ale mam jeden problem próbuje sklecić to wszystko w jedna całość i nie daje rady z powód jest jeden nie jestem programistą php. jakieś drobne improwizacje coś poprawić wstawić to jeszcze dam rade ale wszystkie sugestie jakie znalazłem sa do ludzi ktorzy na tym zjedli zęby i jest dla nich czywiste co gdzie i jak .

teraz o co mi chodzi smile.gif mam skrypt strony www dziurawy jak druszlak jedyne zabezpieczenie jakie ma to jak jest "wyłączony"

próbuje zrobić 2 rzeczy :

obronic go przed sql injection i może jakies filtrowanie w drugiej kolejnosci

na stronie mam 3 miejsca które musze obronić logowanie do PA, dodawanie rekordów do trabeli przez formularz i formularz kontaktowy

Wyczytałem że panel admina to sesje + ciasteczka ale bardziej mi zalezy żeby ochronić same pola wpisu

znalazłem to wiem ze robi duzo dobrego , ale.....

gdzie TO, wstawić czy do pliku odpowiedzialnego za połaczenie z bazą czy do pliku logowania


[PHP] pobierz, plaintext 
  1. <?php
  2. // Connect
  3. $link = mysql_connect('host', 'uzytkownik', 'haslo')
  4.     OR die(mysql_error());
  5.  
  6. // Zapytanie
  7. $query = sprintf("SELECT * FROM uzytkownicy WHERE uzytkownik='%s' AND haslo='%s'",
  8.             mysql_real_escape_string($uzytkownik),
  9.             mysql_real_escape_string($haslo));
  10. ?>
[PHP] pobierz, plaintext


pytań mam dużo wiecej ale nie chce przesadzać na początek

Pozdrawiam

Mario
Go to the top of the page
+Quote Post
CuteOne
post
Post #2





Grupa: Zarejestrowani
Postów: 2 958
Pomógł: 574
Dołączył: 23.09.2008
Skąd: wiesz, że tu jestem?

Ostrzeżenie: (0%)
-----

sprintf do napisania tego rodzaju zapytania to bezsensowna strata zasobów
[PHP] pobierz, plaintext 
  1. <?php
  2. // Connect
  3. $link = mysql_connect('host', 'uzytkownik', 'haslo')
  4.     OR die(mysql_error());
  5.  
  6. $salt = 'dew^&*y2/w2,.'; //wygenerowana sól - o soleniu haseł poczytasz na necie
  7.  
  8. $uzytkownik =   mysql_real_escape_string($uzytkownik); 
  9. $haslo = sha1($haslo.$salt); // hashuj hasła tak aby w razie utraty danych nie wpadły w niepowołane ręce
  10.  
  11. $query = mysql_query("SELECT haslo FROM uzytkownicy WHERE uzytkownik='$uzytkownik' AND haslo = '$haslo'") or die(mysql_error());
  12.  
  13. if(mysql_num_rows($query)) { // użytkownik istnieje ponieważ mysql zwrócił wynik
  14.  
  15. }
  16. else {
  17.  
  18.    echo 'Podane dane dla użytkownika '.htmlspecialchars($uzytkownik).' są nie prawidłowe'; // htmlspecialchars przeciwko atakom typu xss
  19. }
  20. ?>
[PHP] pobierz, plaintext


Ten post edytował CuteOne 29.08.2011, 22:11:36
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 19.08.2025 - 10:52
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn