[PHP][MySQL] Feedback moich skryptów, proszę o rady i wskazówki Opcje

[anatman]

Witam uprzejmie wszystkich koderów!

Zacząłem budować pewien serwis, jednak moje umiejętności są niekompletne i dość chaotyczne(samouk). Dlatego prosiłbym o odsłuch z waszej strony. Chciałem w tym temacie publikować moje wypociny i liczę na Wasze konstruktywne wskazówki i rady. Podkreślam, że postawiłbym przede wszystkim na prostotę i bezpieczeństwo. Z tego względu nie chciałbym, zbytnio komplikować kodu, wręcz przeciwnie mam nadzieję, że część rzeczy można napisać prościej - jeśli coś widzicie piszcie. Prace nad skryptami są w toku, więc wiele rzeczy jest jeszcze nienapisanych. Póki co wszystko działa tak jak chce, więc tutaj problemu nie ma. Myślałem, że sam podołam wszystko napisać, jednak nie wiem zupełnie jak zabrać się m.in. za sprawę bezpieczeństwa, która jest dla mnie praktycznie pierwszorzędna. Googlowałem, googlowałem, ale nic sensownego i uporządkowanego nie znalazłem, dlatego zakładam ten temat. Mam nadzieję, że pomożecie mi w budowie, uzupełniając moją wiedzę jednocześnie. Więc zaczynam!

Na początek skrypt rejestracji. Nie potrzebne mi tutaj dużo rzeczy jedynie e-mail, login, password; reszta to pierdoły. Chciałbym abyście ocenili skrypt od strony konstrukcyjnej. Po pierwsze, liczę na wskazówki dotyczące działania i czytelności kodu, po drugie jak zabezpieczyć kod (jakich funkcji użyć):

[PHP] pobierz, plaintext 
<?php session_start();
 
$_SESSION['error'] = NULL;
 
if(($_POST['email']==NULL) || ($_POST['login']==NULL) || ($_POST['password']==NULL) || ($_POST['password2']==NULL)) { 
  $_SESSION['error']="fill in all form fields"; 
  header("Location: ../index.php"); exit;
 }
if($_POST['password']!=$_POST['password2']) {
  $_SESSION['error']="password and password(x2) mismatch";
  header("Location: ../index.php"); exit;
 } 
 
include("connect.php");
 
$getemail="SELECT * FROM users WHERE email='" . $_POST['email'] . "'";
$_email=mysql_query($getemail, $connect);
$email=mysql_fetch_assoc($_email);
if($email['email'] == $_POST['email']) {
  $_SESSION['error']="e-mail is already used";
  header("Location: ../index.php"); exit;
 } 
$getlogin="SELECT * FROM users WHERE login='" . $_POST['login'] . "'";
$_login=mysql_query($getlogin, $connect);
$login=mysql_fetch_assoc($_login);
if($login['login'] == $_POST['login']) {
  $_SESSION['error']="login is already used";
  header("Location: ../index.php"); exit;
 }
 
 $register = "INSERT INTO `et`.`users`
 (`id`, `email`, `login`, `password`, `credits`, `active`)
 VALUES (NULL, '" . $_POST['email'] . "', '" . $_POST['login'] . "', '" . $_POST['password'] . "', '0', '0')";
 $register_query=mysql_query($register, $connect);
 
if($register_query == 1) {
  //activation mail script here//
  $_SESSION['error']="<br/>activation link has been sent to your e-mail address";
  header("Location: ../index.php"); exit;
 }
 else echo mysql_error();
?>
[PHP] pobierz, plaintext 

Ten post edytował anatman 25.07.2013, 21:09:48

[dżozef]

1. nie używaj mysql_, zainteresuj się PDO
2. sprawdzaj zawartość $_POST przed podstawieniem (jak już będziesz używać PDO to poczytaj o bindowaniu)
3. a może obiektowo?

[anatman]

Hmmm... Sprawa wygląda tak, że uczyłem się php kawał czasu temu, a o istnieniu PDO dowiedziałem się jakieś dwie godziny temu Szkielet programu jest już praktycznie gotowy, zostawiłem na koniec bezpieczeństwo, grafikę i dopracowanie całości. Mam napisane ponad 20 skryptów i wszędzie jest mysql_ Przebudowywanie teraz wszystkiego mija się z celem, więc niestety, PDO nie wchodzi w tym projekcie w grę; tymbardziej, że wszystko działa jak należy i nie chcę mącić w kodzie. Czy proces rejestracji ma jakieś widoczne niedopracowania i jakich funkcji mam użyć i gdzie, aby zapewnić bezpieczeństwo? Gubię się w funkcjach typu htmlspecialchars(); real_escape_string(); md5(); sha1(); nie wiem jakich najlepiej użyć. Jestem totalnie zielony w sprawach bezpieczeństwa, a kategoria forum to PRZEDSZKOLE, więc proszę o konkretne, łopatologiczne odpowiedzi od kompetentnych osób, na przykładzie mojego skryptu. Dodam, że moja strona może być celem różnych ataków, więc chciałem ją dobrze zabezpieczyć.

Ten post edytował anatman 25.07.2013, 21:07:09

[aras785]

info o błędach w sesji?

Na szybko napisałem coś takiego:

[PHP] pobierz, plaintext 
<?php 
if(isset($_POST['register'])) {
  if(!empty($_POST['email']) AND !empty($_POST['login']) AND !empty($_POST['password']) AND !empty($_POST['password2'])) {
    if($_POST['password']==$_POST['password2']) {
      //laczymy sie z baza 
      $db = new PDO('mysql:host=localhost;dbname=baza', 'user', 'password'); 
      $db->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_OBJ); 
      //zapytania
      $query = $db->prepare('SELECT id FROM users WHERE login=:login OR email=:email LIMIT 1--');
      $query->bindParam(':login',$_POST['login'],PDO::PARAM_STR);
      $query->bindParam(':email',$_POST['email'],PDO::PARAM_STR);
      $query->execute();
      if($query->rowCount()==0) {
        $query = $db->prepare('INSET INTO users(id,login,email,password) VALUES(:id,:login,:email,:password)');
        $query->bindValue(':id','');
        $query->bindParam(':login',$_POST['login'],PDO::PARAM_STR);
        $query->bindParam(':email',$_POST['email'],PDO::PARAM_STR);
        //password md5
        $password = md5(trim($_POST['password']));
        $query->bindParam(':password',$password,PDO:PARAM_STR,32);
        if($query->execute()) {
          $message_ok = 'Zarejestrowany czy coś ;)';
        }else $message_error = 'error';
      }else $message_error = 'login or password is already';
    }else $message_error = 'password and password(x2) mismatch';
  }else $message_error = 'fill in all form fields';
}
[PHP] pobierz, plaintext 

nie sprawdzałem Pozdrawiam