Forum PHP.pl > [MySQL] Zmiana praw użytkowników

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [MySQL] Zmiana praw użytkowników

questr

12.12.2010, 16:32:20

Formularz rejestracyjny na mojej stronie łączy się z bazą danych poprzez stworzone przeze mnie konto w phpmyadmin. To konto ma wyłączone wszystkie opcje jakie tylko były. Chciałbym jakoś zabezpieczyć rejestrację tak aby inni użytkownicy nie mogli podglądać innych danych niż swoje. Póki co każdy może zobaczyć ilu jest userów, jakie mają loginy i hasła zakodowane w md5. Jak mogę jakoś ukryć te dane?

lord2105

12.12.2010, 16:53:54

pokaz skrypt?

questr

12.12.2010, 17:15:01

Skrypt rejestracji:

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
include "conn.inc.php";
?>
<html>
<head>
<title>PHP5, Apache i MySQL</title>
</head>
<body>
<?php
if (isset($_POST['submit']) && $_POST['submit'] == "Zarejestruj") {
  if ($_POST['username'] != "" && 
      $_POST['password'] != "" && 
      $_POST['first_name'] != "" && 
      $_POST['last_name'] != "" && 
      $_POST['email'] != "") {
 
    $query = "SELECT username FROM user_info " .
             "WHERE username = '" . $_POST['username'] . "';";
    $result = mysql_query($query) 
      or die(mysql_error());
 
    if (mysql_num_rows($result) != 0) {
?>
<p>
  <font color="#FF0000"><b>Nazwa użytkownika  
  <?php echo $_POST['username']; ?> jest już używana. Proszę wybrać
  inną!</b></font>
  <form action="register.php" method="post">
    Nazwa użytkownika: <input type="text" name="username"><br>
    Hasło: <input type="password" name="password" 
                value="<?php echo $_POST['password']; ?>"><br>
    Adres email: <input type="text" name="email" 
             value="<?php echo $_POST['email']; ?>"><br>
    Imię: <input type="text" name="first_name" 
                  value="<?php echo $_POST['first_name']; ?>"><br>
    Nazwisko: <input type="text" name="last_name" 
                 value="<?php echo $_POST['last_name']; ?>"><br>
    Miasto: <input type="text" name="city" 
            value="<?php echo $_POST['city']; ?>"><br>
    Województwo: <input type="text" name="state" 
             value="<?php echo $_POST['state']; ?>"><br><br>
 
    <input type="submit" name="submit" value="Zarejestruj"> &nbsp; 
    <input type="reset" value="Wyczysć">
  </form>
</p>
<?php
    } else {
      $query = "INSERT INTO user_info (username, password, email, " .
               "first_name, last_name, city, state) " .
               "VALUES ('" . $_POST['username'] . "', " .
               "(PASSWORD('" . $_POST['password'] . "')), '" . 
               $_POST['email'] . "', '" . $_POST['first_name'] .
               "', '" . $_POST['last_name'] . "', '" . $_POST['city'] . 
               "', '" . $_POST['state'] . "');";
      $result = mysql_query($query) 
        or die(mysql_error());
      $_SESSION['user_logged'] = $_POST['username'];
      $_SESSION['user_password'] = $_POST['password'];
?>
<p>
  Dziękujemy, <?php echo $_POST['first_name'] . " " . 
  $_POST['last_name']; ?>, za zarejestrowanie się!<br>
<?php
      header("Refresh: 5; URL=index.php");
      echo "Zakończono proces rejestracji! " .
           "Zostaniesz przeniesiony do oryginalnej storny!<br>";
      echo "(Jesli przeglądarka nie obsługuje przekierowań, " .
           "<a href=\"index.php\">kliknij tutaj</a>)";
      die();
    }
  } else {
?>
<p>
  <font color="#FF0000"><b>Wymagane jest podanie nazwy użytkownika, hasła, 
  adresu email, imienia i nazwiska!</b></font>
  <form action="register.php" method="post">
    Nazwa użytkownika: <input type="text" name="username" 
                value="<?php echo $_POST['username']; ?>"><br>
    Hasło: <input type="password" name="password" 
                value="<?php echo $_POST['password']; ?>"><br>
    Adres email: <input type="text" name="email" 
             value="<?php echo $_POST['email']; ?>"><br>
    Imię: <input type="text" name="first_name" 
                  value="<?php echo $_POST['first_name']; ?>"><br>
    Nazwisko: <input type="text" name="last_name" 
                 value="<?php echo $_POST['last_name']; ?>"><br>
    Miasto: <input type="text" name="city" 
            value="<?php echo $_POST['city']; ?>"><br>
    Województwo: <input type="text" name="state" 
             value="<?php echo $_POST['state']; ?>"><br>
    <br>
    <input type="submit" name="submit" value="Zarejestruj"> &nbsp; 
    <input type="reset" value="Wyczysć">
  </form>
</p>
<?php
  }
} else {
?>
<p>
  Witamy na stronie rejestracji!<br>
  Wymagamy wypełenienia pól nazwy użytkownika, hasła, adresu email,
  imienia i nazwiska!
  <form action="register.php" method="post">
    Nazwa użytkownika: <input type="text" name="username"><br>
    Hasło: <input type="password" name="password"><br>
    Adres email: <input type="text" name="email"><br>
    Imię: <input type="text" name="first_name"><br>
    Nazwisko: <input type="text" name="last_name"><br>
    Miasto: <input type="text" name="city"><br>
    Województwo: <input type="text" name="state"><br>
<br>
    <input type="submit" name="submit" value="Zarejestruj"> &nbsp; 
    <input type="reset" value="Wyczysć">
  </form>
</p>
<?php
}
?>
</body>
</html>
[PHP] pobierz, plaintext

conn.inc

[PHP] pobierz, plaintext 
<?php
$conn = mysql_connect("localhost", "user", "haslo")
	or die(mysql_error());
$db = mysql_select_db("baza")//nazwa bazy danych
	or die(mysql_error());
?>
[PHP] pobierz, plaintext

Mephistofeles

12.12.2010, 18:05:14

Cytat

Póki co każdy może zobaczyć ilu jest userów, jakie mają loginy i hasła zakodowane w md5. J

Dopuszczasz bezpośredni dostęp do bazy? Nikt tego nie zobaczy dopóki mu na to (świadomie lub nie) nie pozwolisz.
Można dla każdego tworzyć osobnego użytkownika MySQL, ale to zazwyczaj nie ma sensu i się do niczego nie przydaje.

CuteOne

12.12.2010, 18:12:16

Hee? ale w tym formularzu nie wysyłasz danych z bazy do formularza [i ogólnie do przeglądarki], więc powiedz mi w jaki sposób ktoś miałby wyświetlić dane innych użytkowników?

No chyba, że mowa o zabezpieczeniach i hackowaniu bazy... ale to już inna bajka - którą polecam przeczytać bo twój skrypt to jedna wielka dziura

Mephistofeles

12.12.2010, 18:33:21

Skorzystaj z PDO i prepared statements, bo faktycznie nie masz żadnej ochrony przed SQL Injection.

questr

12.12.2010, 22:00:00

Do zabezpieczenia tego jeszcze długa droga, ale jeśli ktoś w pliku conn.inc ma bezpośrednio login i hasło do bazy to nie będzie mógł odczytać danych zawartych w bazie? (Wydaje mi się, że drzwi stoją przed nim otworem)
Co do SQL Injection...
Chciałem to później zrobić. Tzn. Najpierw zrobić porządek z bazą i formularzem, a następnie to zabezpieczyć. Oczywiście możecie coś zasugerować do przeczytania jak to dokładnie zrobić tak aby nie było wielu luk

Mephistofeles

12.12.2010, 22:11:50

A niby jak ma uzyskać dostęp do tych danych? Jedynie przez błędy w skrypcie może, czyli od razu zajmij się SQL Injection.

CuteOne

13.12.2010, 11:51:56

1. Zabezpiecz zapytania używając mysql_real_escape_string() lub jak już ktoś wcześniej napisał prepared statements.
2. Wyświetlanie danych, które pośrednio pochodzą od użytkownika zabezpieczaj używając htmlspecialchars()
3. Odpowiednia konfiguracja php.ini [to zostaw na koniec

]
4. Zabezpieczenia sesji [dużo o tym na necie]
5. Zabezpieczenia przed wywołaniem plików bezpośrednio w przeglądarce [np. http://www.example.com/modules/rejestracja...acja_finish.php]

Na necie jest sporo artów opisujących różne techniki zabezpieczeń wystarczy poszukać

questr

13.12.2010, 16:33:03

Dzięki wielkie
W takim układzie zabieram się za zabezpieczanie

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.