Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Web программирование > SQL, базы данных
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 30.01.2021, 10:19   #1
brownb
Форумчанин
 
Регистрация: 16.10.2016
Сообщений: 156
По умолчанию Безопасность скрипта

Код:
<?php
if (isset($_POST['name']) && isset($_POST['text'])){

    // Переменные с формы
    $name = $_POST['name'];
    $text = $_POST['text'];
    
    // Параметры для подключения
    $db_host = "localhost"; 
    $db_user = "asdl"; // Логин БД
    $db_password = "asd"; // Пароль БД
    $db_base = 'asd'; // Имя БД
    $db_table = "users"; // Имя Таблицы БД
    
    // Подключение к базе данных
    $mysqli = new mysqli($db_host,$db_user,$db_password,$db_base);

    // Если есть ошибка соединения, выводим её и убиваем подключение
	if ($mysqli->connect_error) {
	    die('Ошибка : ('. $mysqli->connect_errno .') '. $mysqli->connect_error);
	}
    
    $result = $mysqli->query("INSERT INTO ".$db_table." (user,mail) VALUES ('$name','$text')");
    
    if ($result == true){
    	echo "Информация занесена в базу данных";
    }else{
    	echo "Информация не занесена в базу данных";
    }
}
?>

<html>
<head>
 <title>Запись в БД через форму на php</title>
</head>
<body>
 <form method="POST" action="">
  <input name="name" type="text" placeholder="Имя"/>
  <input name="text" type="text" placeholder="Текст"/>
  <input type="submit" value="Отправить"/>
 </form>
</body>
</html>

Подскажите по безопасности этот код уязвим?
brownb вне форума Ответить с цитированием
Старый 30.01.2021, 10:23   #2
ADSoft
Старожил
 
Регистрация: 25.02.2007
Сообщений: 4,150
По умолчанию

а как-же... sql-injection
нельзя напрямую передавать в запрос данные от пользователя... никогда

либо подготовленные запросы, либо real_escape_string() обработать
ADSoft вне форума Ответить с цитированием
Старый 30.01.2021, 10:28   #3
brownb
Форумчанин
 
Регистрация: 16.10.2016
Сообщений: 156
По умолчанию

Цитата:
Сообщение от ADSoft Посмотреть сообщение
а как-же... sql-injection
нельзя напрямую передавать в запрос данные от пользователя... никогда

либо подготовленные запросы, либо real_escape_string() обработать
А можете помочь я в этом полный ноль(((
brownb вне форума Ответить с цитированием
Старый 30.01.2021, 10:30   #4
ADSoft
Старожил
 
Регистрация: 25.02.2007
Сообщений: 4,150
По умолчанию

что использовать написано .. откройте для себя удивительный мир интернета, где можно пользоваться поиском
ADSoft вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Безопасность. dirik71 Помощь студентам 1 23.12.2010 10:15
Безопасность e_e_n Безопасность, Шифрование 11 04.07.2010 06:47
Безопасность x_AN777 Помощь студентам 2 08.05.2010 23:30
Безопасность xap4o PHP 4 15.02.2010 00:02