Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Bezpieczeństwo sesji i przekazywania danych do metod
Szymciosek
post 16.12.2012, 15:59:48
Post #1





Grupa: Zarejestrowani
Postów: 1 168
Pomógł: 126
Dołączył: 5.02.2010
Skąd: Świdnica

Ostrzeżenie: (0%)
-----

Witam,
czy takie działanie jest bezpieczne ?

W login.php do sesji zapisuję Id aktualnie zalogowanego użytkownika.
[PHP] pobierz, plaintext 
  1. $_SESSION['user_id'] = $user_id;
[PHP] pobierz, plaintext


Następnie przy dodawaniu wpisu do bazy wyświetlam formularz i jeśli wszystko jest ok, wysyłam go.

coś w tym rodzaju.
addEntry.php
[PHP] pobierz, plaintext 
  1. if (!isset($_SESSION['logged']))
  2.             die ('Zaloguj sie!');
  3.  
  4.         if (isset($_POST['add']))
  5.         {
  6.             if (isset($_POST['message']))
  7.             {
  8.                 $connect = new Connect;
  9.                 $connect->addEntryQuery($_SESSION['user_id'], $_POST['message']);
  10.                 //walidacja danych
  11.                 header("Location: thanks.php");
  12.             }
  13.             else
  14.             {
  15.                 echo 'uzupelnij pola';
  16.             }
  17.         }
  18.         else
  19.         {
  20.             echo '<form action="" method="post">
  21.                 <textarea cols="25" rows="5" name="message"></textarea><br />
  22.                 <input type="submit" name="add" value="dodaj" />
  23.             </form>';
  24.         }
[PHP] pobierz, plaintext


Następnie te dane są przekazywane do klasy Connect

Connect.php
[PHP] pobierz, plaintext 
  1. class Connect
  2. {
  3.     private static $PDOInstance;
  4.  
  5.     public function __construct()
  6.     {
  7.         if(!self::$PDOInstance) {
  8.             try
  9.             {
  10.                 self::$PDOInstance = new PDO('mysql:host=localhost; dbname=accept_system', 'root', '');
  11.                 self::$PDOInstance->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  12.  
  13.             }
  14.             catch (PDOException $e) 
  15.             {
  16.                 die('PDO CONNECTION ERROR: ' . $e->getMessage() . '<br/>');
  17.             }
  18.     	}
  19.       	return self::$PDOInstance;
  20.     }
  21.  
  22.     public function addEntryQuery($user_id, $content)
  23.     {
  24.         $query = self::$PDOInstance->prepare("INSERT INTO `contents` (`id`, `user_id`, `content`) VALUES ('', :user_id, :content)");
  25.         $query->bindValue(":user_id", $user_id);
  26.         $query->bindValue(":content", $content);
  27.  
  28.         $query->execute();
  29.     }
  30. }
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post

Posty w temacie
- Szymciosek   [PHP]Bezpieczeństwo sesji i przekazywania danych do metod   16.12.2012, 15:59:48
- - CuteOne   Jeżeli nie trzymasz w sesji danych wrażliwych (log...   16.12.2012, 16:08:34
- - Szymciosek   Aż tak bardzo można się do tego przyczepić ? Myśla...   17.12.2012, 23:55:31

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 24.07.2025 - 15:25
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn