Na wstępie chciałbym przywitać się z Wami, Forumowiczami
.Zajmuję się administrowaniem strony na Wordpressie dla pewnej firmy (uzupełnianie stronek i inne pierdółki). Jednym z elementów strony ma być kalkulator kosztów. W sensie tabelka gdzie wpisuje się np. 3 panele 10" i 2 panele 17" i sumuje koszty, z ew. montażem itd.
I teraz mam takie pytanie odnośnie bezpieczeństwa:
jeśli istnieje tylko pobieranie danych z bazy MySQL na stronę to czy sama baza jest narażona na wszelkiego rodzaju ataki z tej strony?
Konkretnie pobierany jest tekst typu: nazwa, cena, id itd.
Poniżej kawałek skryptu z którego korzystam:
Cytat
<?php //moduł pobierający ilość wierszy
$zapytanie = mysql_query("SELECT * FROM wp_produkty");
$ilosc_wierszy = mysql_num_rows($zapytanie);
?>
<form action="" method=post>
<table class=tablespec>
<tr>
<td class=cellfirst>Nazwa komponentu</td><td class=cellname>Ilość</td><td class=cellname>Cena zł/ 1szt.</td>
</tr>
<?php
for($i=1; $i<=$ilosc_wierszy;$i++)
{
$sql="SELECT nazwa, nazwazm, cena FROM wp_produkty WHERE id=$i"; //definiowanie zapytania do SQL
$wynik=mysql_query($sql); //wysłanie zapytania do SQL
$row= mysql_fetch_row($wynik)or die('Błąd w zapytaniu. Komunikat: '.mysql_error().'; Numer błędu: '.mysql_errno());; //zapis wyniku zapytania do $row
/* Kolejność kolumn wg SELECT z zapytania w zmiennej $sql
*/
?>
<tr>
<td class='cellname'><?php print_r($row['0']); ?> </td>
<td class='celldata1'> <input type="text" size="4" name="<?php print_r($row['1']); ?>" /></td>
<td class='celldata1'><?php print_r($row['2']); ?></td>
</tr>
<?php
}
?>
$zapytanie = mysql_query("SELECT * FROM wp_produkty");
$ilosc_wierszy = mysql_num_rows($zapytanie);
?>
<form action="" method=post>
<table class=tablespec>
<tr>
<td class=cellfirst>Nazwa komponentu</td><td class=cellname>Ilość</td><td class=cellname>Cena zł/ 1szt.</td>
</tr>
<?php
for($i=1; $i<=$ilosc_wierszy;$i++)
{
$sql="SELECT nazwa, nazwazm, cena FROM wp_produkty WHERE id=$i"; //definiowanie zapytania do SQL
$wynik=mysql_query($sql); //wysłanie zapytania do SQL
$row= mysql_fetch_row($wynik)or die('Błąd w zapytaniu. Komunikat: '.mysql_error().'; Numer błędu: '.mysql_errno());; //zapis wyniku zapytania do $row
/* Kolejność kolumn wg SELECT z zapytania w zmiennej $sql
*/
?>
<tr>
<td class='cellname'><?php print_r($row['0']); ?> </td>
<td class='celldata1'> <input type="text" size="4" name="<?php print_r($row['1']); ?>" /></td>
<td class='celldata1'><?php print_r($row['2']); ?></td>
</tr>
<?php
}
?>
Dalej jest liczenie sumy itd, czysty PHP.
BTW to normalne że w jak dałem ten fragment kodu w [*spoiler] to w podglądzie nie działało? (bez * ofcoz)
