[MySQL][PHP]Zabezpieczenie formularza

[MySQL][PHP]Zabezpieczenie formularza

xxdrago Zobacz profil	1.11.2011, 15:48:22 Post #1
Grupa: Zarejestrowani Postów: 654 Pomógł: 42 Dołączył: 27.07.2010 Skąd: Jaworzno Ostrzeżenie: (0%)	Witam czy dobrze zabezpieczyłem ten formularz przed SQL inec.? [PHP] pobierz, plaintext '; // odbieramy dane z formularza $nick = $_POST['nick']; $email = $_POST['email']; $haslo = $_POST['haslo']; $kodsms = $_POST['kodsms']; $gg = $_POST['gg']; $ip = $_SERVER['REMOTE_ADDR']; $date = strtotime("now"); $data_zak = strtotime('+ 30 days'); mysql_real_escape_string($nick); mysql_real_escape_string($email); mysql_real_escape_string($haslo); mysql_real_escape_string($gg); mysql_real_escape_string($kodsms); if($nick & $email & $haslo & $kodsms) { $connection = @mysql_connect('-------------') or die('Brak połączenia z serwerem MySQL.<br />Błąd: '.mysql_error()); $db = @mysql_select_db('xxx', $connection) or die('Nie mogę połączyć się z bazą danych<br />Błąd: '.mysql_error()); $ins = @mysql_query("INSERT INTO sklep SET nick='$nick', email='$email', haslo='$haslo', gg='$gg', ip='$ip', data_aktualna='$date', data_zakonczenia='$data_zak', aktywne='0', kodsms='$kodsms'"); echo 'Twoje konto zostało dodane.<br> Administrator musi je zaakceptować. Możesz wysłać,<br> nick i dane z tego formularza na adres e-mail: kontakt[malpa]xxdrago.pl'; } } [PHP] pobierz, plaintext Ten post edytował xxdrago 1.11.2011, 15:48:53 -------------------- GG: 10972302 :)

gorden Zobacz profil	1.11.2011, 15:56:43 Post #2
Grupa: Zarejestrowani Postów: 486 Pomógł: 101 Dołączył: 27.06.2010 Ostrzeżenie: (0%)	zamiast: [PHP] pobierz, plaintext $zmienna = $_POST['zmienna']; mysql_real_escape_string($zmienna); [PHP] pobierz, plaintext chyba raczej: [PHP] pobierz, plaintext $zmienna = mysql_real_escape_string($_POST['zmienna']); [PHP] pobierz, plaintext

xxdrago Zobacz profil	1.11.2011, 16:55:09 Post #3
Grupa: Zarejestrowani Postów: 654 Pomógł: 42 Dołączył: 27.07.2010 Skąd: Jaworzno Ostrzeżenie: (0%)	Co moge tutaj jeszcze zabezpieczyć? [PHP] pobierz, plaintext echo ' <table border="0" cellpadding="2" cellspacing="1" width="100%" class="forumline"> <tr> <th class="thHead" colspan="2" height="25" valign="middle">Krok 4 - Realizacja zamowienia</th> </tr> </table> '; // odbieramy dane z formularza $nick = mysql_real_escape_string($_POST['nick']); $email = mysql_real_escape_string($_POST['email']); $haslo = mysql_real_escape_string($_POST['haslo']); $gg = mysql_real_escape_string($_POST['gg']); $kodsms = mysql_real_escape_string($_POST['kodsms']); $ip = $_SERVER['REMOTE_ADDR']; $date = strtotime("now"); $data_zak = strtotime('+ 30 days'); if($nick & $email & $haslo & $kodsms) { $connection = @mysql_connect('xxx') or die('Brak połączenia z serwerem MySQL.<br />Błąd: '.mysql_error()); $db = @mysql_select_db('xxx', $connection) or die('Nie mogę połączyć się z bazą danych<br />Błąd: '.mysql_error()); $ins = @mysql_query("INSERT INTO sklep SET nick='$nick', email='$email', haslo='$haslo', gg='$gg', ip='$ip', data_aktualna='$date', data_zakonczenia='$data_zak', aktywne='0', kodsms='$kodsms'"); echo 'Twoje konto zostało dodane.<br> Administrator musi je zaakceptować. Możesz wysłać,<br> nick i dane z tego formularza na adres e-mail: kontakt[malpa]xxdrago.pl'; } } ?> [PHP] pobierz, plaintext -------------------- GG: 10972302 :)

Arhimenrius Zobacz profil	1.11.2011, 17:00:57 Post #4
Grupa: Zarejestrowani Postów: 115 Pomógł: 3 Dołączył: 19.04.2011 Ostrzeżenie: (0%)	Ja bym osobiście walnął jeszcze TRIM na wszystkie zmienne. Może to nie zabezpieczenie, ale wszystkie białe znaki z początki i końca pokasujesz.

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 14.08.2025 - 11:42

Hosting zapewnia

Forum PHP.pl