PHP kod błędu

Question

Siema mogłby ktoś pomóc.

Mam taki kod w php. Powinno pojawiać sie w przegladarce komunikat bledu itp 

A jest cos takiego ? co ja tam zle robie 

Fatal error: Uncaught mysqli_sql_exception: Duplicate entry 'bobo' for key 'login' in

<?php
include('header.html');
if(isset($_REQUEST['login']) && isset($_REQUEST['password']) && isset($_REQUEST['tos'])) {
    
    $login = $_REQUEST['login'];
    $password = $_REQUEST['password'];
    $tos = $_REQUEST['tos'];
    $db = new mysqli('localhost', 'root', '', 'forms');
    
$q = "INSERT INTO user (id, login, password) VALUES (NULL, \"$login\", \"$password\")";
$db->query($q);
if($db->errno == 0) {
    echo "Dodano poprawnie uzytkownika z id=" . $db->insert_id;
} else {
    echo "Nastapil blad numer " . $db->errno . ", komunikat bledu" . $db->error;
}
    //rozlaczenie z baza
    $db->close();
} else {
    include('registerForm.html');
}
include('footer.html');
?> 

 

Comments

W powyższym kodzie wykorzystano już kilka technik zabezpieczających przed SQL injection.

1. Funkcja htmlentities() służy do konwersji znaków specjalnych na ich odpowiedniki HTML (np. < na &lt;). Dzięki temu ataki typu "cross-site scripting" (XSS) są trudniejsze do przeprowadzenia.
2. Opcja ENT_QUOTES oznacza, że zostaną zamienione zarówno pojedyncze, jak i podwójne cudzysłowy.
3. Parametr "UTF-8" określa kodowanie znaków, w którym przeprowadzana jest konwersja.
4. Funkcja mysqli_real_escape_string() służy do "ucieczki" znaków specjalnych, takich jak ' czy ", które mogą być wykorzystywane w atakach SQL injection. Funkcja ta dodaje do nich odpowiednie "ucieczki", takie jak \' czy \", co sprawia, że nie są one traktowane jako część zapytania SQL.

Oprócz tego, warto pamiętać o kilku innych zabezpieczeniach:

1. Zawsze należy sprawdzać dane wejściowe, w szczególności te, które są wykorzystywane w zapytaniach SQL. Można to zrobić np. za pomocą funkcji preg_match() lub filter_var().
2. Zamiast konkatenacji zmiennych do zapytania SQL lepiej jest używać parametrów zapytań (ang. prepared statements). Dzięki temu dane wejściowe są automatycznie "uciekane", co dodatkowo zabezpiecza przed atakami SQL injection.
3. Ważne jest również, aby nadawać odpowiednie uprawnienia użytkownikom bazy danych. Unikajmy używania kont z pełnymi uprawnieniami, jeśli nie są one konieczne.
4. Aby zabezpieczyć się przed atakami typu "injection", warto również zadbać o odpowiednią konfigurację serwera bazy danych.

---

Ok wszystko jasne.

Dziękuje jeszcze raz za pomoc. ;]

---

@Michał Kazula, 

To bez obiektowości będzie tak:

if (!$db->query($q)) {
    printf("Errorcode: %d\n", $db->errno);
}

ale $db->query i $db->errno to też OOP 

---

@Kaduq, 

pytanie mam takie mianowicie SQL incjection czy taki kawałek kodu zabezpieczy mi stronę przed tym czy to tylko początek zabezpieczeń?

aby uniknąć tego typu ataków, należy zawsze sprawdzać poprawność danych wejściowych i możesz np. też używać zapytań parametryzowanych, np. jak poniżej:

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $login = $_POST['login'] ?? null;
    $haslo = $_POST['haslo'] ?? null;
    
    if ($login && $haslo) {
        $conn = mysqli_connect('localhost', 'username', 'password', 'database_name');

        $sql = "SELECT * FROM uzytkownicy WHERE user = ? AND pass = ?";
        $stmt = mysqli_prepare($conn, $sql);
        mysqli_stmt_bind_param($stmt, "ss", $login, $haslo);
        mysqli_stmt_execute($stmt);

        $result = mysqli_stmt_get_result($stmt);
        mysqli_close($conn);

        while ($row = mysqli_fetch_array($result)) {
            // wyświetlenie danych użytkownika
            echo $row['username'];
            echo $row['email'];
        }
         
    }
}

W powyższym przykładzie zapytanie parametryzowane zapobiega wstrzykiwaniu niebezpiecznych komend SQL, ponieważ dane wejściowe są automatycznie przetwarzane przez bibliotekę MySQLi, uniemożliwiając wstrzykiwanie niebezpiecznych danych.

---

@VBService, 
Wiem ;-)