POST i textarea - zmienna nieustawiona

Question

Witam.

Napotkałem ciekawy problem - próbowałem wysłać tekst wpisany w pole <textarea></textarea>, jednak nie był on wykryty jako ustawiony w drugim pliku, który to odbierał. Próbowałem różnych sposobów, ale nic nie działało.

HTML:

<form action="add.php" method="POST">
<textarea name="message" rows="100" cols="200"></textarea>
</form>

 

PHP:

<?php
session_start();


if(isset($_POST['message']))
{
    
    $mess = $_POST['message'];
    require_once "basedata.php";

$connection = @new mysqli($host, $db_user, $db_password, $db_name);
if($connection->connect_errno!=0)
{

echo "Error ".$connection->connect_errno;    
    
}else
{
 $mysql = "UPDATE messages SET tekst='$mess'";
 $connection->query($mysql);
 $connection->close(); 
}
}else
{
    echo "Not set";
    
}
?>

 

Za każdym razem PHP zwraca napis Not set

Answer 1

require_once "basedata.php";

Wywal bezpośrednio pod session_start()

I natychmiast wywal małpę z kodu. Nie rozumiesz czym jest i wykorzystujesz ją w najgorszym miejscu w jakim można. 

Comments

Poza tym kod jest podatny na XSS i SQLInjection.

---

Do tego jeszcze CSRF i session hijacking, czego chcieć więcej :)

---

Opcja ma być dostępna tylko dla zalogowanych i zaufanych użytkowników, więc takimi zabezpieczeniami nie muszę się przejmować. Niestety po podanych zmianach, serwer nadal zwraca napis Not set

---

No ale dzięki SQL injection będą mogły się tam dostać niezaufane osoby :(

---

System logowania ma wbudowaną ochronę przed tym

---

Chyba sobie jaja robisz. Gówno Ci to daje, czy SQLInjection jest przed logowaniem czy po logowaniu. Jeśli system jest dziurawy, to wszystkie dane wszystkich użytkowników które posiadasz są zagrożone a Ty odpowiadasz prawnie za wyciek tych danych - finansowo również, jeśli ktoś Cię pozwie.

---

Dobrze, przyjąłem ostrzeżenie, ale trochę odbiegliśmy od tematu. Masz jakieś sugestie co do przedstawionego w temacie problemu (poprzedni nie zadziałał)?