bezpieczenstwo kodu,php-połączenie z baza danych i dodawanie danych

Question

Witam. 

Chciałbym się zapytać czy ten kod jest jjuż bezpieczny? czy jeszzcze coś muszę dodać?. wiem ze muszę jeszcze captcha dodać na boty i jesszcze kiedyś słyszałem o jakimś zabezpieczniu  do blogów ale kurczę wyleciało mi z głowy... z górdzy dziękuję za pomoc..

<?php
require_once"dbconect.php";
$conn = mysqli_connect($host, $db_user, $db_password,$db_name);
$conn->set_charset("utf8");
// Check connection

if ($conn->connect_error) {
		die("Connection failed: " . $conn->connect_error);
	}


echo "Connected successfully";
if (isset($_POST['name']) && isset($_POST['surname']) && isset($_POST['gender']) && isset($_POST['city']) && isset($_POST['Dateofbirth']) && isset($_POST['street']) && isset($_POST['number'])&& isset($_POST['zipcode']) && isset($_POST['phone']) && isset($_POST['email'])&& isset($_POST['distance'])&& isset($_POST['team']) ){ 
	
$name = trim(strip_tags($_POST['name']));
$surname = trim(strip_tags($_POST['surname']));
$gender = trim(strip_tags($_POST['gender']));
$city  = trim(strip_tags($_POST['city'])); 
$Dateofbirth  = trim(strip_tags($_POST['Dateofbirth']));
$street  = trim(strip_tags($_POST['street']));
$number  = trim(strip_tags($_POST['number']));
$zipcode  = trim(strip_tags($_POST['zipcode']));
$phone  = trim(strip_tags($_POST['phone']));
$email  = trim(strip_tags($_POST['email']));
$distance  = trim(strip_tags($_POST['distance']));
$team  = trim(strip_tags($_POST['team']));

}
else{
	echo 'nie isinieja';
}
if ('$distance' ==='mini'){
	echo 'dodano';
}
if ('$distance' ==='mega'){
	echo 'dodano';
}
if ('$gender' ==='women'){
	echo 'dodano';
}
if ('$gender' ==='men'){
	echo 'dodano';
}

$stmt = $conn->prepare("INSERT INTO tab (name,surname ,gender,city,Dateofbirth,street,number,zipcode,phone,email,distance,team) values (?,?,?,?,?,?,?,?,?,?,?,?)");

$stmt->bind_param("ssssssisssss",$name,$surname,$gender,$city,$Dateofbirth,$street,$number,$zipcode,$phone,$email,$distance,$team);
$stmt->execute();
if ($stmt!=TRUE){
echo"nie dodano";}
else{
echo'dodano'; }

//$wynik = mysqli_query($conn,"SELECT * FROM xyz");

//while($row = mysqli_fetch_array($wynik))

//{echo $row['name'] . " " . $row['surname']; echo "<br>"; }

$stmt->close();
$conn->close();
?>

 

Answer 1

Tak teraz dopiero zauważyłem. Używasz funkcji strip_tags, ale co jeśli którakolwiek z tych wartości pojawi się jako atrybut? Wtedy dalej będzie możliwość XSSa.

Comments

Chodzi Ci o scrypt który można umiescić  w  jakimś polu??.. o tym nie pomysłaem w sumie to zapomiałem o tym..

---

tak (w sensie kiedy będziesz to później wyświetlał gdzieś)

---

okey, czaje. Dziękuję :)

Answer 2

if ('$distance' ==='mini'){
    echo 'dodano';
}
if ('$distance' ==='mega'){
    echo 'dodano';
}
if ('$gender' ==='women'){
    echo 'dodano';
}
if ('$gender' ==='men'){
    echo 'dodano';
}

???

ssssssisssss

Skąd to się tutaj wzięło?

Comments

1. jest po2 boola  nie wiedziałem jak to inaczej rozwiązać. i w sumie ten warunek działa.

2. jak wycztyałem to ten ciąg esek i jednej int oznacza  listę typów danych. Robiłem tak jak jest w dokumentacji..

---

czemu nie

$distance === 'mega'

przecież w taki sposób to jak masz to teraz zapisane to zawsze zwróci false

---

$distanse=='mega' to będzie ok?

Answer 3

Prawdopodobnie nie bo nie hashujesz

Comments

O kurcze, czytałem o tym kiedyś ale wydawało mi się ze hashowanie jest tylko do haseł...

---

@___Shell___,

Co w tym skrypcie jest do zahashowania?

---

No moim zdaniem  nie ma czego zahaszować. No chyba ze serio żle rozumie haszowanie.

---

Ty dobrze rozumiesz, w tym skrypcie nie ma czego hashować.

---

Uf. Jest coś czego mozna się czpić w tym skrypcie?. Nie jestem pewien czy jest dobrze napisane.Na local hoscie sprawdzałem  zastrzyki i  było ok .Kasowałem bazę i tylko w bazie było wypisane co było dodane  w kazdym okineku...