PHP и с чем его едят....
- Автор теми SoLar
- Дата створення
Dre.hz
Active Member
Не INT, a DECIMAL(7,2), ну или там сколько у вас цифр будет до запятой.Dre.hz, да, изначально туда еще и указатель валюты писался. Но теперь не могу поменять на INT
Ребятки, а ну подскажите. Допустим есть форма:
А дальше есть обработчик этой формы:
Но учитывая ошибки, решил обратиться к
Но думается мне, что ее одной не достаточно для того, чтобы максимально обезопасить запрос. Поэтому еще решил преобразовать html функцией
В итоге обработка получилась такого вида:
Теперь сам вопрос: на сколько правильная и безопасная обработка? При том, что запрос остается прежним
HTML:
<form action='login.php' method='post'>
E-mail: <input type='text' name='emailUser'><br />
Пароль: <input type='password' name='passwordUser'><br />
<input type=submit name=submit value=' войти '><br />
<?php=$message;?>
<form>
PHP:
if (isset($_POST['submit'])) {
$emailUser=$_POST['emailUser'];
$passwordUser=md5($_POST['passwordUser']);
// дальше идет проверка на вводимые данные, аля "пустые поля", "кол-во воодимых символов", "корректность вводимого e-mail'a"
// и дальше делаю запрос в базу
include "config.php";
$q=mysql_query("SELECT * FROM `users` WHERE(`emailUser`='$emailUser')");
$r=mysql_fetch_array($q);
if ($r['emailUser']!=$emailUser or $r['passwordUser']!=$passwordUser) { $message="Пароль или e-mail введен не верно!"; }
else {
$_SESSION['user']="yes";
$_SESSION['idUser']=$r['idUser'];
echo "<script type=\"text/javascript\"> window.location.href = \"login.php\" </script>";
}
mysql_close($link);
} else;
PHP:
mysql_real_escape_string()
PHP:
htmlentities()
PHP:
$emailUser=mysql_real_escape_string(htmlentities($_POST['emailUser']));
$passwordUser=mysql_real_escape_string(htmlentities(md5($_POST['passwordUser'])));
PHP:
$q=mysql_query("SELECT * FROM `users` WHERE(`emailUser`='$emailUser')");
Останнє редагування:
Dre.hz
Active Member
С паролем - крайне непрофессионально. Как вы не изощряйтесь, но md5() от любой строки вернет вам 32 символа, в составе которых могут быть только цифры 0-9 и буквы a-f. Как раз md5() это тот случай, когда можно прямо вставлять в SQL-запрос. Почитайте-осмыслите еще раз, от чего именно надо защищаться, вставляя данные в SQL-запрос и как «вредоносный код» модет туда просочиться.
Имейл логичнее валидировать регулярным выражением — убьёте несколько зайцев сразу.
x3mal
In Trance
Чтобы обезопасить от подбора пароля, можно например сделать ограничение по количеству запросов с одного IP, либо добавить каптчу.
Чтобы обезопасить от SQL-инъкций mysql_real_escape_string должно быть достаточно.
Суть защиты от SQL-инъекции - заключить переменную в скобки, и не допустить чтобы эти скобки были продублированы в переменной.
Чтобы обезопасить от SQL-инъкций mysql_real_escape_string должно быть достаточно.
Суть защиты от SQL-инъекции - заключить переменную в скобки, и не допустить чтобы эти скобки были продублированы в переменной.
Знаю, это не сюда. Но в другой ветке не помогут. Есть выпадающий список:
Все значения беру из базы.
Теперь вопрос: как мне через этот список передать несколько значений? То есть передать $idCategory и $nameCategory соответственно.
HTML:
<select name="category" size="1">
<option value="$idCategory">$nameCategory</option>
<option value="$idCategory">$nameCategory</option>
<option value="$idCategory">$nameCategory</option>
<option value="$idCategory">$nameCategory</option>
<option value="$idCategory">$nameCategory</option>
</select>Теперь вопрос: как мне через этот список передать несколько значений? То есть передать $idCategory и $nameCategory соответственно.
Я бы в таком случае делал бы хеш на стороне сервера, а по id получал бы все данные.
Если критично передавать оба значения, можно запилить формирование JSON при помощи яваскрипта, а функцию вызывать onsubmit.
А можно вообще поле вынести за форму, а яваскриптом формировать форму, которая состоит из hidden полей и затем ее отправлять. Вариантов масса.