Zabezpieczenie kodu PHP

Question

Więc generalnei mam taką funkcję do połączenia się z bazą danych:

<?php
         $con = mysqli_connect("localhost", "root", "***", "technikum1") or die("Error");
             if (!mysqli_set_charset($con, "utf8")) { }
           ?>

i zastanawia mnie w jaki sposób dobrzę pisać kod tak aby miał jaknajmniej dziurl; z góry dzięki za linki.

Answer 1

Pisać tak, żeby nikt nie dostał naszych passów z bazy… zmień je, bo już wyciekły w tym pytaniu

No i obowiązuje zasad najmniejszego możliwego przywileju. Jeśli nie masz potrzeby (a na pewno nie masz potrzeby) nie korzystaj z użytkownika root - zwłaszcza z poziomu webappa

Comments

Baza tylko lokalna więc oto się nie martwię, ale zbieram wiadomości na przyszłość, dziękuję.

Answer 2

function filtruj($zmienna) {
    if (get_magic_quotes_gpc())
        $zmienna = stripslashes($zmienna); // usuwamy slashe

        
// usuwamy spacje, tagi html oraz niebezpieczne znaki
    return mysql_real_escape_string(htmlspecialchars(trim($zmienna)));
}

masz funkcję musisz teraz ją tylko wywołać w odowiednim miejscu ona ci wszystko pzefiltrujee. Najlepiej jest to zrobić w ifie. Jeśli przefiltrowana zmienna będzie taka sama czyli będzie się równała wartości przesłanej metodą post w tedy kod powinien się wykonać natomiast w przeciwnym wypadku powinno być inaczej.

 

if ($mysqli->connect_error != 0) {
        echo "Error:" . $mysqli->connect_errno;
    } else {

        $dodaj_element = filtruj($_POST['dodaj_element']);

        if ($_POST['dodaj_element'] == $dodaj_element) {
            $sql = "INSERT INTO `lista` (`element`) VALUES ('$dodaj_element')";
            $mysqli->query($sql);
            echo "$dodaj_element";
            echo "<div align=\"center\"><strong>Element został dodany poprawnie</strong></div>";
            $mysqli->close();
                echo '<p><a href="./">Wyślij nowy element</a></p>';
        } else {
            echo "<div align=\"center\">Zostały wprowadzone nieprawidłowe znaki. Element <b> nie </b> został wysłany.</div>";
            echo '<p></br><a href="./">Od nowa</a></p>';
        }
    }

Przepuści ci w tym wypadku tylko znaki typu int lub string. Jeśli zmienna nie będzie int lub string w tedy wyświetli się komunikat.

Dne do połączenia inkludujesz z oddzielnego pliku:

  include_once "connect.php";

w moim przypadku zmienna $con = $mysqli

Comments

Słyszałeś kiedyś o PDO i bindowaniu parametrów/wartości?

---

Niestety nie oświeć mnie

---

PHP Data Objects

PHP Data Objects – rozszerzenie języka PHP udostępniające jednolity interfejs baz danych w postaci pojedynczej klasy z metodami wspólnymi dla różnych silników zarządzania bazą danych. Eliminuje to konieczność korzystania przez twórców oprogramowania z własnych lub zewnętrznych rozwiązań unifikujących sposób operow…

---

Proszę, https://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO to się stosuję "dziś" i bardziej wygoniej pracuje się z tym, niż z mysqli :-)

---

Bym cię lajkną ale nie mogę

---

Spoko, nie dla lajków tu jestem! :D
To co, przechodzisz na jasną stronę mocy z biblioteką PDO? :D

Pozdrawiam!

---

Muszę poświęcić cały dzień by przeanalizować wszystkie kody zamieszczone na tej stronie i nasępny żeby sam napisać własn projekt w oparci o bibliotekę PDP na razie dla mnie to czarna magia. Dużo funkcji jeszcze nie znam i muszę zobaczyć jakie funkcj one wykonują. Jak czytałem stare komentarze to ludzie mnie zachęcali do kożystania z mysqli a o PDO nigdy nie słyszałem ale więlkie dzięki za podsunięcie mi takiego rozwiązania. Po to tu jestem żeby się uczyć. :)

---

Ciekawe kto pisał te komentarze... Pdo ma zalwdwie kilka  funkcji 3 h i ogarnięte.

Answer 3

Więc generalnie na spokojnie naucz sie pisać w języku polskim nie piszemy: generalnei :)

Drugą sprawą jest jak najmniej dziur, a nie jaknajmniej dziurl :)

Powinieneś zadać pytanie:

Jak zabezpieczyć się przed SQL injection w php.

Odpowiedzi jest wiele np.: StackOverflow

http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

Comments

Tylko i wyłącznie przez SQL?