Безопасность скрипта / PHP, Perl, Python

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Безопасность скрипта

10 сообщений из 10, страница 1 из 1

Безопасность скрипта

#40050542

xokoki3608

Гость

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.

<?php
if (isset($_POST['name']) && isset($_POST['text'])){

    // Переменные с формы
    $name = $_POST['name'];
    $text = $_POST['text'];
    
    // Параметры для подключения
    $db_host = "localhost"; 
    $db_user = "asdl"; // Логин БД
    $db_password = "asd"; // Пароль БД
    $db_base = 'asd'; // Имя БД
    $db_table = "users"; // Имя Таблицы БД
    
    // Подключение к базе данных
    $mysqli = new mysqli($db_host,$db_user,$db_password,$db_base);

    // Если есть ошибка соединения, выводим её и убиваем подключение
	if ($mysqli->connect_error) {
	    die('Ошибка : ('. $mysqli->connect_errno .') '. $mysqli->connect_error);
	}
    
    $result = $mysqli->query("INSERT INTO ".$db_table." (user,mail) VALUES ('$name','$text')");
    
    if ($result == true){
    	echo "Информация занесена в базу данных";
    }else{
    	echo "Информация не занесена в базу данных";
    }
}
?>

<html>
<head>
 <title>Запись в БД через форму на php</title>
</head>
<body>
 <form method="POST" action="">
  <input name="name" type="text" placeholder="Имя"/>
  <input name="text" type="text" placeholder="Текст"/>
  <input type="submit" value="Отправить"/>
 </form>
</body>
</html>

Помогите обезопасить скрипт

...

Рейтинг:

0 / 0

04.03.2021, 09:35

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050555

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

xokoki3608

Код: php

1.
2.
3.

    // Переменные с формы
    $name = $_POST['name'];
    $text = $_POST['text'];

xokoki3608

Код: php

'$name','$text'

Гуглить по словам "SQL-инъекция"

...

Рейтинг:

0 / 0

04.03.2021, 10:34

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050574

xokoki3608

Гость

mysqli_real_escape_string($name) = $_POST['name'];
mysqli_real_escape_string($text) = $_POST['text'];

Так?

...

Рейтинг:

0 / 0

04.03.2021, 11:10

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050578

DHDD

Гость

xokoki3608,

Код: php

1.
2.

    $name = $mysqli->real_escape_string($_POST['name']);
    $text = $mysqli->real_escape_string($_POST['text']);

...

Рейтинг:

0 / 0

04.03.2021, 11:13

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050585

xokoki3608

Гость

DHDD,

Fatal error: Call to a member function real_escape_string() on a non-object in Z:\home\localhost\www\index.php on line 5

авторif (isset($_POST['name']) && isset($_POST['text'])){

// Переменные с формы
$name = $mysqli->real_escape_string($_POST['name']);
$text = $mysqli->real_escape_string($_POST['text']);

...

Рейтинг:

0 / 0

04.03.2021, 11:27

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050591

xokoki3608

Гость

автор<?php
if (isset($_POST['name']) && isset($_POST['text'])){

// Переменные с формы
$name = $mysqli->real_escape_string($_POST['name']);
$text = $mysqli->real_escape_string($_POST['text']);

// Параметры для подключения
$db_host = "localhost";
$db_user = "root"; // Логин БД
$db_password = ""; // Пароль БД
$db_base = 'register'; // Имя БД
$db_table = "user"; // Имя Таблицы БД

// Подключение к базе данных
$mysqli = new mysqli($db_host,$db_user,$db_password,$db_base);

// Если есть ошибка соединения, выводим её и убиваем подключение
if ($mysqli->connect_error) {
die('Ошибка : ('. $mysqli->connect_errno .') '. $mysqli->connect_error);
}

$result = $mysqli->query("INSERT INTO ".$db_table." (name,mail) VALUES ('$name','$text')");

if ($result == true){
echo "Информация занесена в базу данных";
}else{
echo "Информация не занесена в базу данных";
}
}
?>

...

Рейтинг:

0 / 0

04.03.2021, 11:35

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050637

DHDD

Гость

xokoki3608

Fatal error: Call to a member function real_escape_string

ну так сначала

Код: php

    $mysqli = new mysqli($db_host,$db_user,$db_password,$db_base);

а уже потом

Код: php

1.
2.

    $name = $mysqli->real_escape_string($_POST['name']);
    $text = $mysqli->real_escape_string($_POST['text']);

...

Рейтинг:

0 / 0

04.03.2021, 13:54

| Ответить | Цитировать | Написать

Безопасность скрипта

#40050688

kormot

Участник

Сообщения: 292

Рейтинг: 0 / 0

xokoki3608 ,
1. Используй один тип кавычек для кода. Одинарные. Всегда.
2.

Код: php

1.
2.
3.
4.
5.

if ($result == true){
echo "Информация занесена в базу данных";
}else{
echo "Информация не занесена в базу данных";
}

это же неверно. Во-первых, false будет возвращено только в случае ошибки. Зачем тебе чтобы SQL ошибка возникала?
Во-вторых, если ошибки не было и SQL запрос выполнен, то результат будет не true, а mysqli ресурс. Оно конечно сработает с == (но не с ===), но всё-же приучай себя писать строгий код со строгими проверками чтобы реже садиться в лужи.
Ты же хочешь проверить условие "Что в таблицу была вставлена строка", так вот и проверяй результат mysqli_affected_rows
3. Замени на INSERT IGNORE, чтобы при дубликате username'ов была не ошибка а просто игнор.

...

Рейтинг:

0 / 0

04.03.2021, 15:08

| Ответить | Цитировать | Написать

Безопасность скрипта

#40051945

ScareCrow

Участник

Откуда: Белый город

Сообщения: 16 205

Рейтинг: 0 / 0

используй PDO и параметры

...

Рейтинг:

0 / 0

09.03.2021, 15:12

| Ответить | Цитировать | Написать

Безопасность скрипта

#40052444

estic

Гость

kormot

Используй один тип кавычек для кода. Одинарные. Всегда.

О чем вы?

kormot

Во-первых, false будет возвращено только в случае ошибки. Зачем тебе чтобы SQL ошибка возникала?

kormot

Во-вторых, если ошибки не было и SQL запрос выполнен, то результат будет не true, а mysqli ресурс.

Для INSERT будет true.

kormot

Ты же хочешь проверить условие "Что в таблицу была вставлена строка", так вот и проверяй результат mysqli_affected_rows

Зачем? Он же вставляет одну запись.

kormot

3. Замени на INSERT IGNORE, чтобы при дубликате username'ов была не ошибка а просто игнор.

Зачем? Из кода про дубликаты ничего не известно. Вполне возможно, что автора даже дубли e-mail устраивают. А если не устраивают, то такие ошибки точно не нужно игнорировать!

...

Рейтинг:

0 / 0

10.03.2021, 20:43

| Ответить | Цитировать | Написать

10 сообщений из 10, страница 1 из 1

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Безопасность скрипта

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?desktop=1&fid=23&tid=1459503]:	0ms
get settings:	11ms
get forum list:	15ms
check forum access:	5ms
check topic access:	5ms
track hit:	34ms
get topic data:	14ms
get forum data:	3ms
get page messages:	74ms
get tp. blocked users:	2ms
others:	12ms

total:	175ms