[php] Skrypt tokena Opcje

[terreska]

Mam taki skrypcik (token tekstowy).
Niestety chyba nie przekazuje mi wartości $wynik, bo cały czas wywala komunikat: "Podales zly wynik. Twoja wiadomosc nie moze zostac wyslana."
Co robię źle? Próbowałam na różne sposoby i nic.

[PHP] pobierz, plaintext 
case "sprawdz":
 
$a=rand(1, 10);
$b=rand(1, 10);
$wynik=($a+$b);
 
echo '<center>Podaj wynik: '.$a.'+'.$b.'=';
?>
<form method="post" action="index.php?action=sprawdz2">
<table>
<tr><td>Wynik:</td><td><input name="licz" type="text" size="40"></td></tr>
<tr><td>&nbsp;</td><td><input type="submit" name="sub" value="Ok"> </td></tr>
<input name="wynik" type="hidden" value="$wynik">
</table>
</form>
<?php
break;
 
case "sprawdz2":
echo " test: ".$wynik; [b]// tutaj wyswietla mi tylko napis $wynik[/b]
if ('$wynik'=='$licz')
{
						mail($webmasteremail,$type,
						"
			E-Mail: $email
			Temat: $type
			Twoje pytanie: 
			$info
			$message $czas $data
						", "From: $email");
						$content=("Twoja wiadomosc zostala wyslana.");
}
else
{
$content=("Podales zly wynik. Twoja wiadomosc nie moze zostac wyslana.");
 
}
 
						break;
[PHP] pobierz, plaintext 

[cadavre]

Może by tak używać globalnych? $_POST['wynik'] a nie $wynik. Tak tylko w register_globals, które jest masakrycznie niebezpieczne...

Poza tym:
1. '$wynik' - takie zmienne nie będą widoczne. Po co w ogóle apostrofy? Jeśli już to " zamiast '.
2. Po co $cos=("asasa"); i nawiasy? $cos = "asasa"; i tyle.

Ten post edytował cadavre 6.01.2007, 20:51:09

[ikioloak]

gdzie ty sie uczylas tak pisac? Do zmiennych z przeslanych przez formularz odwolujesz sie przez tablice $_POST i $_GET. Nie:

[PHP] pobierz, plaintext 
<?php
if ('$wynik'=='$licz')
?>
[PHP] pobierz, plaintext 

a

[PHP] pobierz, plaintext 
<?php
if ($_POST['wynik']==$licz)
?>
[PHP] pobierz, plaintext 

Czyli raz ze $_POST to dwa, bez apostrofow. Zrezygnuj tez z takiej konstrukcji (dziwnej):

[PHP] pobierz, plaintext 
<?php
$content=("Podales zly wynik. Twoja wiadomosc nie moze zostac wyslana.");
?>
[PHP] pobierz, plaintext 

na rzecz normalnej:)

[PHP] pobierz, plaintext 
<?php
$content = "Podales zly wynik. Twoja wiadomosc nie moze zostac wyslana.";
?>
[PHP] pobierz, plaintext 

Duzo nauki przed toba

Ten post edytował ikioloak 6.01.2007, 20:52:29

[terreska]

Bardzo Wam dziękuję za rady.
No niestety nie mam mnie kto dobrze nauczyć php i ciężko mi nawet po Waszych radach coś poprawić.
Czy możecie wkleić cały poprawiony kod, a wtedy porównam sobie i zrozumiem

Zrobiłam tak jak napisaliście i nadal nie przekazuje wartości $wynik

[ikioloak]

Wklej caly kod. Masz namotane raczej cos jeszcze wczensiej. Myslalem ze wynik jest przekazywany przez formularz, teraz widze ze jest wynikiem jakichs obliczen.

[E -dd]

Jaki sens ma tworzenie takiego tokena, jak bot odczyta sobie zawartość pola hidden i już. Jeśli już tworzysz tokena (chodź odradzam) to używaj do kodu tokena sesji.

Polecam przeczytanie tego:
www.webaudit.pl/blog/2006/captcha-nie-uzywaj/

ps. Zamykasz tagi php, więc kod formularza nie czyta zmiennej bo to tylko html.

[terreska]

Tak, jest to wynik obliczeń i właśnie wyniku tych obliczeń nie potrafię przekazać dalej...

Wiem, że każdy chce dobrze, ale bardzo proszę niech ktoś poprawi mój kod, który umieściłam na samej górze. Będę wdzięczna.

[Norbas]

[PHP] pobierz, plaintext 
<?php
function getPOST($n) {
	return (isset($_POST[$n])) ? $_POST[$n] : '';
}
 
$wynik = intval(getPOST('wynik'));
$a = intval(getPOST('a'));
$b = intval(getPOST('b'));
$komunikat = '';
if ($wynik) {
	if ($wynik==$a+$b) {
		// wysłanie listu
		$komunikat = 'ok';
	}
	else
		$komunikat = 'nieprawidłowy wynik';
}
if ($komunikat)
	echo $komunikat;
if ($komunikat != 'ok') {
	$a=rand(1, 10);
	$b=rand(1, 10);
?>
<form method="post" action="index.php">
<input name="a" type="hidden" value="<?php echo $a; ?>">
<input name="b" type="hidden" value="<?php echo $b; ?>">
<table>
<tr><td><?php echo $a . '+' . $b; ?>=</td><td><input name="wynik" type="text"></td></tr>
<tr><td> </td><td><input type="submit" value="Ok"> </td></tr>
</table>
</form>
<?php
}
?>
[PHP] pobierz, plaintext 

[E -dd]

Kod

<input name="wynik" type="hidden" value="$wynik">

zamień na

Kod

<input name="wynik" type="hidden" value="<?php echo $wynik; ?>">

a

Kod

if ('$wynik'=='$licz')

na

Kod

if ($wynik == $licz )

Myślę że będzie ok. Tylko zamiast $wynik i $licz powinnieneś dawać $_POST['wynik'] i $_POST['licz']

ps. Sorka za tamtą wypowiedź o sesjach, nie zauważyłem że kod do podania to wynik obliczeń

[terreska]

Bardzo Wam dziękuję za pomoc.

Nie wiem tylko o co dokładnie chodzi z tym bezpieczeństwem register globals... Czytałam bardzo dużo o tym, ale jest to dla mnie zbyt trudne... jak na razie.

Czy może ktoś podać podstawy bezpieczeństwa, jak pisać żeby nie było konieczne register globals i jak "się zabezpieczać" ?

[cadavre]

Aby nie używać rg zapisujesz zmienne jako globale skąd zmienna pochodzi. Jeśli masz zmienną $zmienna i:
Pochodzi z formularz POST: $_POST['zmienna']
Pochodzi z formularza GET lub z adresu w pasku: $_GET['zmienna']
Pochodzi z sesji: $_SESSION['zmienna']
Pochodzi z ciasteczka $_COOKIE['zmienna']

O $_REQUEST się nie ucz.

[E -dd]

Można to wytłumaczyć tak, masz formularz i dane przesyłasz metodą post i wysyłasz do skryptu skrypt.php. Jeśli w skrypcie dasz

Kod

echo $nazwa_pola;

to ktoś będzie mógł wpisać w przeglądarce skrypt.php?nazwa_pola=jakis_kod_brzydki i wtedy wyświetli Ci się to na stronie. Ale jeśli dasz

Kod

echo $_POST['nazwa_pola'];

wtedy dane wyświtlone zostaną z formularza wysłanego przez post.

Rozumiesz ?

[terreska]

Trochę rozumiem, a jak np. musiałby wyglądać taki "brzydki kod"?
Co za pomocą tego kodu można uzyskać? Tzn. można pobrać jakieś dane ze strony czy zniszczyć stronę?

[E -dd]

Głównie do tego używa się JS. Ale można w php np. pobrać alb o zmienić informacje w bazie, wczytać inną stronę itp. poczytaj o SQL injection (ps. nie jestem pewien na 100% czy to się tak pisze )

[goped]

Poczytaj jak kolega mowil o SQL injection oraz o HTML injection. Chcialem zauwazyc ze formularz przy poscie tez mozna oszukac i podeslac "brzydki kod", wiec i tak trzeba uwazac co sie robi ze zmiennymi
To jest inny przyklad dziury z wlaczonym rg:

[PHP] pobierz, plaintext 
<?php
if (strlen($_GET[a])>5) $auth=md5($_GET[a]);
if ($auth=='213271839712391273871273912731') $admin=1;
?>
[PHP] pobierz, plaintext 

a.php?auth=213271839712391273871273912731

[terreska]

Troche o tym poczytałam i coś tam kombinuje.
Mam teraz inny problem.
Jaką funkcję zastosować, aby sprawdzić czy użytkownik wypełnił wszystkie pola formularza kontaktowego i w przypadku jeśli nie, wyświetlałby się stosowny komunikat a mail nie został wysłany?

[spryciula]

użyj JAVASCRIPT(ale użytkownik zawsze może wyłączyć obsługę JAVASCRIPT, i już nie działa), i zweryfikuj czy wypełnił pole

[PHP] pobierz, plaintext 
<?php
<script TYPE="text/javascript" LANGUAGE="JavaScript">
<!-- begin
function clean_form()
{
	if (document.form.nazwa_pola.value = ""){
	   alert("Pole 'Kod Dostawcy' nie może zostać puste!!!");
	  return false;
   }
 
}
//-->
</SCRIPT>
?>
[PHP] pobierz, plaintext 

i jeszcze dodaj w definicji formularza, onsubmit, funkcja zwraca ci true(wszystko ok, wyślij) or false(nie wysyła)

[PHP] pobierz, plaintext 
<?php
<form name ="form" method="post" action="dodaj_dostawce_skrypt.php" onsubmit="if (sprawdz(this)) return true; return false;">
?>
[PHP] pobierz, plaintext 

Ten post edytował spryciula 12.01.2007, 13:15:16