Witam. Chciałbym się was zapytać, czy ten skrypt jest bezpieczny:
1. Pod względem kodu
2. Pod względem sprawdzania danych
oraz czy będzie prawidłowo działał. Aktualnie sam tego sprawdzić nie mogę ponieważ nie mogę się połączyć przez www do bazy danych.

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. include('include/db.php');
  4. $login = mysql_real_escape_string($_POST['login']);
  5. $haslo = mysql_real_escape_string(md5($_POST['haslo'])); 
  6. $haslo2 = mysql_real_escape_string(md5($_POST['haslo2']));
  7. $email = mysql_real_escape_string($_POST['email']);
  8. $access = mysql_real_escape_string($_POST['0']);
  9. $zapytanie = "SELECT COUNT(*) FROM admin WHERE login='$login'";
  10. $idzapytania = mysql_query($zapytanie);
  11. $zajete = mysql_fetch_row($idzapytania);
  12. $zapytanie1 = "SELECT COUNT(*) FROM admin WHERE email='$email'";
  13. $idzapytania1 = mysql_query($zapytanie1);
  14. $zajete1 = mysql_fetch_row($idzapytania1);
  15. if (!isset($_POST['login']) && empty($_POST['login']))
  16. {
  17. echo '<div align="center"><form action="/cpadmin_dodaj_admina" method="post">
  18. Login:<br><input type="text" name="login" /><br><br>
  19. email:<br><input type="text" name="email" /><br><br>
  20. Hasło:<br><input type="password" name="haslo" /><br><br>
  21. Potwierdź hasło:<br><input type="password" name="haslo2" /><br>
  22. <input type="submit" value="Dodaj admina">
  23. <input type="reset" value="Wyczyść">
  24. </form></div>';
  25. }
  26. if(empty($_POST["login"]) || empty($_POST["haslo"]) || empty($_POST["haslo2"]) || empty($_POST["email"]) and !isset($_GET["active"]) and isset($_POST['login']))
  27. {
  28. echo '<div align="center">Nie wypełniono wszystkich pól.</div>';
  29. }
  30. if($_POST['haslo']!=$_POST['haslo2'])
  31. {
  32. echo '<div align="center">Podane hasła nie są identyczne.</div>';
  33. }
  34. if($zajete[0]!=0)
  35. {
  36. echo '<div align="center">Podana nazwa użytkownika jest już zajęta.</div>';
  37. }
  38. if($zajete1[0]!=0)
  39. {
  40. echo '<div align="center">Podany email jest zajęty przez innego użytkownika.</div>';
  41. }
  42. if(!$_POST["email"] || !preg_match("/^[-0-9a-zA-Z_\.]+@([-0-9a-zA-Z_\.]+\.)+([0-9a-zA-Z]){2,4}$/i", $_POST["email"]))
  43. {
  44. echo '<div align="center">Podany email jest nieprawidłowy.</div>';
  45. }
  46. else
  47. {
  48. $zapytanie2 = "INSERT INTO `admin` (`login`, `haslo`, `email`, `access`) VALUES ('".$login."', '".$haslo."', '".$email."', '".$access."')";
  49. $idzapytania2 = mysql_query($zapytanie2);
  50. echo '<div align="center">Konto administratora zostało założone.<br />W ciągu 10 minut użytkownik otrzyma emaila z następnymi instrukcjami.</div>';
  51. $zapytanie3 = "SELECT `email` FROM `admin` ORDER BY `id` DESC";
  52. $idzapytania3 = mysql_query($zapytanie3);
  53. $naglowki = "From: nansss@nportfolio.pl".PHP_EOL."Reply-To: nansss@nportfolio.pl".PHP_EOL."Content-type: text/plain; charset=utf-8";
  54. $wiersz = mysql_fetch_row($idzapytania3);
  55. $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
  56. mail($email, 'Aktywacja konta na nportfolio.pl', '<br /><b>Witaj na nportfolio.pl!</b><br><br><br>Konto <b>'.$login.'</b> zostało zarejestrowane na podany adres e-mail.<br>W celu potwierdzenia rejestracji konta kliknij w poniższy odnośnik:<br><a href="http://nportfolio.pl/potwierdz&active='.$kod.'">http://nportfolio.pl/potwierdz&active='.$kod.'</a><br><br>Jeśli nie rejestrowałeś konta o nazwie <b>'.$login.'</b> po prostu zignoruj tego maila.<br><br><br>------<br>Wiadomość wygenerowana automatycznie<br>przez serwis nportfolio.pl', $naglowki);
  57. $zapytanie4 = "UPDATE admin SET klucz = ('".$kod."') WHERE access = 0";
  58. $idzapytania4 = mysql_query($zapytanie4);
  59. }
  60. mysql_close($connect);
  61. ?>
[PHP] pobierz, plaintext


Zmiana:

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. include('include/db.php');
  4. $login = mysql_real_escape_string($_POST['login']);
  5. $haslo = mysql_real_escape_string(md5(sha1($_POST['haslo']))); 
  6. $haslo2 = mysql_real_escape_string(md5(sha1($_POST['haslo2'])));
  7. $email = mysql_real_escape_string($_POST['email']);
  8. $access = mysql_real_escape_string($_POST['0']);
  9. $zapytanie = "SELECT COUNT(*) FROM admin WHERE login='$login'";
  10. $idzapytania = mysql_query($zapytanie);
  11. $zajete = mysql_fetch_row($idzapytania);
  12. $zapytanie1 = "SELECT COUNT(*) FROM admin WHERE email='$email'";
  13. $idzapytania1 = mysql_query($zapytanie1);
  14. $zajete1 = mysql_fetch_row($idzapytania1);
  15. if (!isset($_POST['login']))
  16. {
  17. echo '<div align="center"><form action="/cpadmin_dodaj_admina" method="post">
  18. Login:<br><input type="text" name="login" /><br><br>
  19. email:<br><input type="text" name="email" /><br><br>
  20. Hasło:<br><input type="password" name="haslo" /><br><br>
  21. Potwierdź hasło:<br><input type="password" name="haslo2" /><br>
  22. <input type="submit" value="Dodaj admina">
  23. <input type="reset" value="Wyczyść">
  24. </form></div>';
  25. }
  26. elseif(empty($_POST["login"]) || empty($_POST["haslo"]) || empty($_POST["haslo2"]) || empty($_POST["email"]) and !isset($_GET["active"]) and isset($_POST['login']))
  27. {
  28. echo '<div align="center">Nie wypełniono wszystkich pól.</div><meta http-equiv="Refresh" content="3; url=/cpadmin_dodaj_admina" />';
  29. }
  30. elseif($zajete[0]!=0)
  31. {
  32. echo '<div align="center">Podana nazwa użytkownika jest już zajęta.</div><meta http-equiv="Refresh" content="3; url=/cpadmin_dodaj_admina" />';
  33. }
  34. elseif($zajete1[0]!=0)
  35. {
  36. echo '<div align="center">Podany email jest zajęty przez innego użytkownika.</div><meta http-equiv="Refresh" content="3; url=/cpadmin_dodaj_admina" />';
  37. }
  38. elseif(!$_POST["email"] || !preg_match("/^[-0-9a-zA-Z_\.]+@([-0-9a-zA-Z_\.]+\.)+([0-9a-zA-Z]){2,4}$/i", $_POST["email"]))
  39. {
  40. echo '<div align="center">Podany email jest nieprawidłowy.</div><meta http-equiv="Refresh" content="3; url=/cpadmin_dodaj_admina" />';
  41. }
  42. elseif($_POST['haslo']!=$_POST['haslo2'])
  43. {
  44. echo '<div align="center">Podane hasła nie są identyczne.</div><meta http-equiv="Refresh" content="3; url=/cpadmin_dodaj_admina" />';
  45. }
  46. else
  47. {
  48. $zapytanie2 = "INSERT INTO `admin` (`login`, `haslo`, `email`, `access`) VALUES ('".$login."', '".$haslo."', '".$email."', '".$access."')";
  49. $idzapytania2 = mysql_query($zapytanie2);
  50. echo '<div align="center">Konto administratora zostało założone.<br />W ciągu 10 minut użytkownik otrzyma emaila z następnymi instrukcjami.</div>';
  51. $zapytanie3 = "SELECT `email` FROM `admin` ORDER BY `id` DESC";
  52. $idzapytania3 = mysql_query($zapytanie3);
  53. $naglowki = "From: nansss@nportfolio.pl".PHP_EOL."Reply-To: nansss@nportfolio.pl".PHP_EOL."Content-type: text/html; charset=utf-8";
  54. $wiersz = mysql_fetch_row($idzapytania3);
  55. $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
  56. mail($email, 'Aktywacja konta na nportfolio.pl', '<br /><b>Witaj na nportfolio.pl!</b><br /><br /><br />Konto <b>'.$login.'</b> zostało zarejestrowane na podany adres e-mail.<br />W celu potwierdzenia rejestracji konta kliknij w poniższy odnośnik:<br /><a href="http://nportfolio.pl/potwierdz&active='.$kod.'">http://nportfolio.pl/potwierdz&active='.$kod.'</a><br><br>Jeśli nie rejestrowałeś konta o nazwie <b>'.$login.'</b> po prostu zignoruj tego maila.<br /><br /><br />------<br>Wiadomość wygenerowana automatycznie<br />przez serwis nportfolio.pl', $naglowki);
  57. $zapytanie4 = "UPDATE admin SET klucz = ('".$kod."') WHERE access = 0";
  58. $idzapytania4 = mysql_query($zapytanie4);
  59. }
  60. mysql_close($connect);
  61. ?>
[PHP] pobierz, plaintext