[PHP]Przerobienie pewnego skryptu Opcje

[flaq1991]

witam mam skrypt dodający pewne dane do bazy mysql i chciałbym sprawdzać ich poprawnośc , i aby nie doawał pustych danych do tabeli o to kod :

[PHP] pobierz, plaintext 
{
  $login = ($_GET['login']);
  $haslo = ($_GET['haslo']);
  $poziom = ($_GET['poziom']);
  $userid = ($_GET['userid']);
 
  if((($login!='') AND ($haslo!=''))) 
 
  $select = mysql_query( 'SELECT * FROM `konta` WHERE `login`= "'.$login.'"');
 
            if(mysql_num_rows($select)>0) {} 
            else
 
  {
        $zapytanie = "INSERT INTO konta(login,haslo,poziom,userid) VALUES ('$login','$haslo','$poziom','$userid')";
        $wyslij = mysql_query($zapytanie);
  }
[PHP] pobierz, plaintext 

wystarczy wejsc na skrypt.php i dodają się puste pola do bazy danych nie wiem jak to zabezpieczyć prośiłbym o jakieś pomoce z góry dziekuję.

[Saki]

Nie wiem czy Ci o to chodzi ale proszę.
Dodałem funkcje clean_text() aby zabezpieczyła Twój skrypt przed SQL Injection..
Skrypt odpali się dopiero gdy w adresie URL dodasz &check=1
przykład: skrypt.php?login=aaa&haslo=aaa&poziom=aaa&userid=aaa&check=1
PS. Osobiście radzę używać POST zamiast GET do przesyłania takich danych jak hasła...

[PHP] pobierz, plaintext 
function clean_text($wert) {
    if (!empty($wert)) {
        $wert = strip_tags($wert);
        $wert = htmlentities($wert, ENT_QUOTES, "UTF-8");
        $wert = trim($wert);
        $wert = stripslashes($wert);
        $wert = mysql_real_escape_string($wert);
    }
    return $wert;
}
 
if ( $_GET['check'] == 1 ) {
    $login = clean_text($_GET['login']);
    $haslo = clean_text($_GET['haslo']);
    $poziom = clean_text($_GET['poziom']);
    $userid = clean_text($_GET['userid']);
    if ($login != '' AND $haslo != '') {
        $select = mysql_query('SELECT * FROM `konta` WHERE `login`= "' . $login . '"');
        if (mysql_num_rows($select) > 0) {
            mysql_query("INSERT INTO konta(login,haslo,poziom,userid) VALUES ('$login','$haslo','$poziom','$userid')");
        }
    }
}
[PHP] pobierz, plaintext 

Ten post edytował Saki 2.01.2013, 05:12:26

[flaq1991]

Chodziło mi ogólnie o to aby skrypt nie doawał do bazy mysql pustych danych tak aby nic nie było pustego login,haslo,poziom,userid jeżeli coś będzie puste to nie wysyła o to mi chodziło bo wystarczy wejsc skrypt przez test.php i dodaje pusty rekord a co za tym idzie mogę dostać owned bazy w 10 sekund

[17misiek09]

albo:

[PHP] pobierz, plaintext 
    function clean_text($wert) {
    if (!empty($wert)) {
    $wert = strip_tags($wert);
    $wert = htmlentities($wert, ENT_QUOTES, "UTF-8");
    $wert = trim($wert);
    $wert = stripslashes($wert);
    $wert = mysql_real_escape_string($wert);
    }
    return $wert;
    }
 
    if ( ($login!='') || ($haslo!='') || ($poziom!='') || ($userid!='')  ) {
    $login = clean_text($_GET['login']);
    $haslo = clean_text($_GET['haslo']);
    $poziom = clean_text($_GET['poziom']);
    $userid = clean_text($_GET['userid']);
    if ($login != '' AND $haslo != '') {
    $select = mysql_query('SELECT * FROM `konta` WHERE `login`= "' . $login . '"');
    if (mysql_num_rows($select) > 0) {
    mysql_query("INSERT INTO konta(login,haslo,poziom,userid) VALUES ('$login','$haslo','$poziom','$userid')");
    }
    }
    }
 
[PHP] pobierz, plaintext 

jesli login rozny od '' albo haslo rozne od '' albo poziom rozny od '' albo userid rozne od '' - jesli ktorekolwiek pole jest puste, to nie doda rekordu.