Witam, w swoim skrypcie posiadam linki typu:

pokaz.php?gracz=lethys

Po wejściu w taki link będzie pokazywać dane o graczu Lethys.

Chciałbym zabezpieczyć jakoś te linki żeby nie dało się hackować przez wpisywanie czego się chce zamiast nicku gracza.

Kod wyglada mniej więcej tak:

[PHP] pobierz, plaintext 
 
$pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
// moja próba zabezpieczenia na podawanie za dużo znaków zamiast nicku gracza
 
if (strlen($pokaz) > 10) {
	print "Podany nick jest za długi!";
	exit;
}
 
print "$pokaz[user]<br>życie gracza: $pokaz[hp]";
 
 
[PHP] pobierz, plaintext 

Dobrze jest zrobione to moje zabezpieczenie? Chciałbym zrobić warunek że nick gracza może się składać tylko z liter, bez znaków specjalnych ale nie wiem jak to zrobić.

Po pierwse, to nie powinno sie przekazywać do strlen tablicy, a po wtóre skrypt nie jest zabezpieczony przed sql injection.

W tym przypadku zabezpieczenie przed sql injection: Wyrażenia regularne lub mysql_real_escape_string ale 100% nie daje.

Możesz też skorzystać z hashowania.

Zrobię tak żeby nie można było używać niedozwolonych znaków w linkach + rewrite i przyjazne linki.

Problem mam z niedozwolonymi znakami

[PHP] pobierz, plaintext 
 
 $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
//to jest źle ale nie mam pojęcia jak zrobić
 
if(!ereg('^[-A-Za-z0-9_]', $pokaz)){
print "Użyto niedozwolonych znaków w linku!";
exit;
}else{	
 
 
 print "<h2>$pokaz[user] (ID $pokaz[id])</h2>";
  print "<br><br><img border=\"0\" src=\"$pokaz[avatar]\" width=\"80\" height=\"80\">";
 
}
[PHP] pobierz, plaintext 

Chcę zrobić aby w linku można było używać tylko alfabetu i cyfr. Jak to przerobić żeby działało ?

[PHP] pobierz, plaintext 
var_dump($pokaz);
[PHP] pobierz, plaintext 

Ja jakbym chciał mieć 100% pewności zrobiłbym:

[SQL] pobierz, plaintext 
"SELECT * FROM players WHERE md5(user)='".md5($pokaz)."'"
[SQL] pobierz, plaintext 

Podłączę się tu trochę do tematu i zapytam innych o zdanie dot. tego sposobu obrony przed SQL injection.

Edit:
Troche od d... strony to robisz

Najpierw robisz zapytanie sql a dopiero potem jakieś instrukcje warunkowe.
Jeśli ktoś Ci pohakierzy poprzez wpisanie czegoś niedobrego do linka to to coś namiesza w tabeli najpierw, a później w zależności czy $pokaz spełnia zadane kryteria bedziesz miał

print "Użyto niedozwolonych znaków w linku!";
lub <h2>$pokaz[user] (ID $pokaz[id])</h2> ......

Jak zrobię :

[PHP] pobierz, plaintext 
<?php
 
include("config.php");
$pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
var_dump($pokaz);
?>
[PHP] pobierz, plaintext 

co wyskakuje:

Nie wiem co to ma udowodnic.

Ja chce zrobic tylko tak jak pisalem

[PHP] pobierz, plaintext 
 $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
//to jest źle ale nie mam pojęcia jak zrobić
 
if(!ereg('^[-A-Za-z0-9_]', $pokaz)){
print "Użyto niedozwolonych znaków w linku!";
exit;
}else{	
 
 
 print "<h2>$pokaz[user] (ID $pokaz[id])</h2>";
  print "<br><br><img border=\"0\" src=\"$pokaz[avatar]\" width=\"80\" height=\"80\">";
 
}
[PHP] pobierz, plaintext 

Link wyglada mniej wiecej tak: pokaz.php?pokaz=lethys

chce zeby mi odrzucalo pokaz.php?pokaz=&%^&%.- tego typu linki.


Moze ktos mi pomoc z moim kodem ?

http://pl2.php.net/mysql_fetch_array

Nic mi to nie mówi, nie mam aż takiej wiedzy o php.


Proszę aby jedynie mi ktoś pomógł z tym małym kodem:

[PHP] pobierz, plaintext 
 $pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
//Chcę żeby dostępne były tylko litery alfabetu i cyfry
 
if(!ereg('^[-A-Za-z0-9_]', $pokaz)){
print "Użyto niedozwolonych znaków w linku!";
exit;
}else{	
 
 
 print "<h2>$pokaz[user] (ID $pokaz[id])</h2>";
  print "<br><br><img border=\"0\" src=\"$pokaz[avatar]\" width=\"80\" height=\"80\">";
 
}
[PHP] pobierz, plaintext 

Link wyglada mniej wiecej tak: pokaz.php?pokaz=lethys

chce zeby mi odrzucalo pokaz.php?pokaz=&%^&%.- tego typu linki.


Dawanie mi linków do wyjaśnień czy też przykładów które nie wiele mają wspólnego z moim problem nic mi nie da bo nie jestem dobry w php.

Zależy mi żeby działał tylko ten prosty kod.

Tu nie trzeba mieć dużej wiedzy o php tylko trzeba logicznie myśleć.

Filtracja nicku -> zapytanie do baszy -> odpowiedni komunikat

No tyle to ja wiem ;D

tylko nie wiem jak przefiltrować ten nick

Rozumiem ze tak jest zle :

[PHP] pobierz, plaintext 
if(!ereg('^[-A-Za-z0-9_]', $pokaz)){
 
// moze tak ?
 
if(!ereg('^[-A-Za-z0-9_]', {$pokaz[user]})){
 
[PHP] pobierz, plaintext 

Jak bede wiedzial jak przefiltrowac ten nick to reszta jak z platka

Prosz..

zamiast ereg stosuj preg_match, czyli:

[PHP] pobierz, plaintext 
preg_match('/^[a-zA-z0-9]{1,10}$/D',$pokaz)
[PHP] pobierz, plaintext 

Ale skryptu który przedstawiłeś w żaden sposób to nie zabezpieczy, ogólnie powiedziawszy nie jest on dobry.

No niby to jest dobra komenda na sprawdzanie niedozwolonych znakow ale nie działa z moim $pokaz, jak mogę sprawdzić czy to co użytkownik sobie wpisze w linku będzie posiadało niedozwolone znaki czy nie?

Jak robie w ten sposób:

[PHP] pobierz, plaintext 
$pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
 
if(!preg_match('/^[a-zA-z0-9]{1,10}$/D',$pokaz)){
[PHP] pobierz, plaintext 

to preg match nie działa z moim $pokaz, a chce zeby uzytkownik nie mogl wpisac pokaz.php?pokaz=^%$.=_ takiego czegos w linku.

PDO i prepared statements, nic nie trzeba filtrować.

Ok, zrobiłem to w taki sposób i chyba teoretycznie działa

[PHP] pobierz, plaintext 
if(preg_match('/^[a-zA-z0-9]{1,10}$/D', $pokaz['user']))
{
echo '<p>'.$pokaz['user'].'</p>';
}
else
{
echo '<p>Nieprawidłowe dane!!</p>';
}
[PHP] pobierz, plaintext 

Ja bym zrobił to w taki sposób

[PHP] pobierz, plaintext 
function filter($zmienna){	
	$zmienna = strip_tags(trim($zmienna));
	$zmienna = mysql_real_escape_string($zmienna);	  
	  if(get_magic_quotes_gpc()){
		$zmienna = stripslashes($zmienna);
		}
	return $zmienna; 
  }
 
$GetGracz = filter(substr($_GET['gracz'],0,10));
 
$sprawdz = mysql_fetch_array(mysql_query("select COUNT(*) from `players` where `user`='$GetGracz'"));
 
if ($sprawdz[0] == 0){
	echo 'Taki player nie istnieje...';
    }
	else 
	{
	$pokaz = mysql_fetch_array(mysql_query("select * from players where user='$GetGracz'"));
	echo '<br>'.$pokaz['user'].'<br>życie gracza: '.$pokaz['hp'].'<br>';
	}
[PHP] pobierz, plaintext 

Nie testowane, ale powinno śmigać

A po co tu dwa zapytania do bazy?

Cóż, pisałem kod z głowy i dla pewności działania napisałem dwa zapytania.
Zresztą mój poziom wiedzy jest ograniczony, ponieważ dopiero poznaje PHP więc wybacz...

[PHP] pobierz, plaintext 
if(!preg_match('/^[a-zA-z0-9]{1,10}$/D', $_GET['gracz'])){
 echo 'Nieprawidlowa nazwa uzytkownika';
}else{
  $s = mysql_fetch_array(mysql_query('SELECT * FROM player WHERE user = "'.$_GET['gracz'].'"'));
    if($s){
      echo $s['user'];
    }else{
     echo 'Nie ma takiego uzytkownika';
    }
}
[PHP] pobierz, plaintext 

Rozumiem że taki kod :

[PHP] pobierz, plaintext 
<?php
 
include("config.php");
$pokaz = mysql_fetch_array(mysql_query("select * from players where user='$pokaz'"));
 
 
 
if(!preg_match('/^[a-zA-z0-9]{1,10}$/D', $pokaz['user'])){
 echo 'Nieprawidlowa nazwa uzytkownika';
}else{
  $s = mysql_fetch_array(mysql_query('SELECT * FROM players WHERE user = "'.$pokaz['user'].'"'));
    if($s){
      echo $s['user'];
    }else{
     echo 'Nie ma takiego uzytkownika';
    }
}
?>
 
[PHP] pobierz, plaintext 

Jest właściwy i będzie w jakiś tam sposób chronił przed sql injection? Jeżeli chodzi o praktyke to działa.

Nie będzie ani troche. W 4tej linijce masz nieprzefiltrowaną zmienną $pokaz.

http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO#Podpinanie

Hmm trochę poczytałem o tym ale mimo wszystko przerasta to moje możliwości Skończyłem skrypt a na koniec czyli teraz chciałem zająć się bezpieczeństwem ale słabo mi idzie.

A kod z takim filterm $pokaz będzie bezpieczny?

[PHP] pobierz, plaintext 
$pokaz = mysql_fetch_array(mysql_query("SELECT * FROM players WHERE md5(user)='".md5($pokaz)."'"));
[PHP] pobierz, plaintext 

Dzięki Mephistofeles za informacje ale przerasta to moje możliwości.

Dużo zmian potrzebuje to "moje zabezpieczenie" żeby było bezpieczne przed sql injection?

Jeżeli nie to może znajdzie się jakaś dobra dusza która mi pomoże