Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [MySQL][PHP] Poprawione błędy i prośba o sprawdzenie kodu :)
Forum PHP.pl > Forum > Przedszkole
gloweres
14.10.2020, 11:57:03
Cześć wszystkim, ostatnio pewna osoba której bardzo dziękuje pokazała mi błąd w moim kodzie PHP. Zajrzałem do dokumentacji i wywnioskowałem następujące wnioski, iż do poprawnego prepare trzeba podstawić wartości za pomocą bind(). Czy Była by dobra duszyczka i sprawdziła czy wszystko dobrze zrobiłem oraz wysłałem przykładowy kod logowania oraz pokazywania jakiś informacji i czy również jest to zrobione w bezpieczny sposób? Czy też mam coś pozmieniać. Z góry dziękuje smile.gif


Kod z błędem:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. 	require '../funkcje/database_connect/dbsoft.php';
  4.  
  5. 	$sql = "INSERT INTO `database` (nazwisko, imie) 
  6. 	VALUES ('{$_POST['1']}', '{$_POST['2']}')";
  7.  
  8. 	$statement = $connection->prepare($sql);
  9.  
  10. 	if (!$statement) {
  11. 		echo "\nPDO::errorInfo():\n";
  12. 		print_r($dbh->errorInfo());
  13. 	}
  14.  
  15. 	if ($statement->execute()) {
  16.  
  17. 		echo '<p class="text-success">Pozytywnie dodano osobę</p>';
  18.  
  19. 	}
  20.  
  21. ?>
[PHP] pobierz, plaintext


Kod poprawiony:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.     require '../funkcje/database_connect/dbsoft.php';
  4.  
  5.     $sql = "INSERT INTO `database` (nazwisko, imie) 
  6.     VALUES (:surname, :name)";
  7.  
  8.     $statement = $connection->prepare($sql);
  9.     $statement->bindParam(':name', $_POST['2'], PDO::PARAM_STR);       
  10.     $statement->bindParam(':surname', $_POST['1'], PDO::PARAM_STR);    
  11.  
  12.     if (!$statement) {
  13.         echo "\nPDO::errorInfo():\n";
  14.         print_r($dbh->errorInfo());
  15.     }
  16.  
  17.     if ($statement->execute()) {
  18.  
  19.         echo '<p class="text-success">Pozytywnie dodano osobę</p>';
  20.  
  21.     }
  22.  
  23.     $statement->execute();
  24.  
  25. ?>
[PHP] pobierz, plaintext


Kod logowania:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. 	require '../database_connect/dbsoft.php';
  6.  
  7.     $email= $_POST['email'];
  8.     $password = $_POST['password'];
  9.  
  10.     $email = htmlentities($email, ENT_QUOTES, "UTF-8");
  11.  
  12.     $sekret = "XXXXXXXXXXXXXXXXXXXXXXXXX";
  13.  
  14.     $sprawdz = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret='.$sekret.'&response='.$_POST['g-recaptcha-response']);
  15.  
  16.     $odpowiedz = json_decode($sprawdz);
  17.  
  18.     if ($odpowiedz->success==false)
  19.     {
  20.         $_SESSION['e_bot']="Potwierdź, że nie jesteś botem!";
  21.         header('Location: ../login.php');
  22.         exit();
  23.     }
  24.         $sql = 'SELECT * FROM account WHERE email="'.$email.'"';
  25.                         $statement = $connection->prepare($sql);
  26.                         $statement->execute();
  27.                         $oz = $statement->rowCount();
  28.  
  29.                 if($oz>0){
  30.  
  31.                 $row = $statement->fetchAll(PDO::FETCH_OBJ);
  32.  
  33.                 foreach($row as $rows):
  34.                 $password_base = $rows->password;
  35.                 $email = $rows->email;
  36.                 $id_base = $rows->id;
  37.                 endforeach;
  38.  
  39.                 if (password_verify($password, $password_base))
  40.                 {
  41.  
  42.                     $_SESSION['verify'] = true;
  43.                     $_SESSION['id_session'] = $id_base;
  44.  
  45.                     function random(int $i)
  46.                     {
  47.                         return substr(str_shuffle(str_repeat($x='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ', ceil($i/strlen($x)) )),1,$i);
  48.                     }
  49.  
  50.                     $code = random(35);
  51.                     $now = time() + 900;
  52.                     $time = date("Y-m-d H:i:s");
  53.  
  54.                     $sql = "INSERT INTO verify_code (id_user, code, date, status_code) VALUES ('$id_base', '$code', '$now', 0)";
  55.                     $connection->prepare($sql)->execute();	
  56.  
  57.                     $message="Kod do weryfikacji:\n\n$code\n\nWiadomosc zostala wygenerowana automatycznie: $time";
  58.                     $sender="From: domena.pl";
  59.                     @mail($email, "Kod weryfikacyjny", $message, $sender);
  60.  
  61.                     unset($_SESSION['error']);
  62.  
  63.                     $statement = null;
  64.                     $connection = null;
  65.  
  66.                     header('Location: verify.php');
  67.  
  68.                 }
  69.                 else 
  70.                 {
  71.  
  72.                     $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
  73.                     $statement = null;
  74.                     $connection = null;                    
  75.                     header('Location: ../login.php');
  76.  
  77.                 }
  78.  
  79.             } else {
  80.  
  81.                 $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
  82.                     $statement = null;
  83.                     $connection = null;
  84.                 header('Location: ../login.php');
  85.  
  86.             }
  87.  
  88.     $statement = null;
  89.     $connection = null;
  90.  
  91. ?>
[PHP] pobierz, plaintext


Wiadomo, do tego mam jeszcze sprawdzanie kodu do logowania 2-etapowego ale czy wszystko jest poprawnie zrobione i co najważniejsze BEZPIECZNIE?

Przykładowe połączenie do wypisania tabeli na stronie z bazy:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.     // NOTA INFORMACYJNA
  4.     // W zapytaniu do bazy (AND ZNACZY I) a (OR ZNACZY LUB)
  5.  
  6.     // System warunkowy
  7.  
  8.     // Przypisanie wartości inputa do zmiennej
  9.     $id_if = $_POST['idif'];
  10.  
  11.     // Zmienne konfiguracyjne
  12.     $baza = "database";                   // Nazwa tabeli bazy danych
  13.  
  14.     // Sprawdzanie wartości z formów (to omińmy bo zrobiłem zależność wczytywaną z innej strony- zostawmy 1 == 1 dla ułatwienia.
  15.     if(1 == 1){
  16.  
  17.       // Konfiguracja 1
  18.       $warunek_pierwszy = "imie";
  19.         $wartosc_dla_warunku_pierwszego = "jan";
  20.       $warunek_drugi = "nazwisko";
  21.         $wartosc_dla_warunku_drugiego = "kowalski";
  22.  
  23.  
  24.  
  25.       // Tworzenie zapytania
  26.       $sql = "SELECT * FROM `$baza` WHERE $warunek_pierwszy='$wartosc_dla_warunku_pierwszego' AND $warunek_drugi='$wartosc_dla_warunku_drugiego''";
  27.       // Działanie skryptu
  28.  
  29.         // Połączenie z bazą 
  30.         require '../funkcje/database_connect/dbsoft.php';
  31.  
  32.         // Sprawdzanie czy istnieje w bazie użytkownik pasujący do konfiguracji 1
  33.         $qq = $connection->prepare($sql);
  34.         $qq->execute();
  35.         $baza = $qq->rowCount();
  36.  
  37.           if($baza == 0){
  38.               echo '<font class="text-danger">Nie znaleziono.</font>';
  39.           }else{
  40.  
  41.  
  42.             // Wypisanie danych z bazy
  43.             $data = $qq->fetchAll(PDO::FETCH_OBJ);
  44.  
  45. 	          if (!$qq) {
  46. 	              	echo "\nPDO::errorInfo():\n";
  47. 	              	print_r($dbh->errorInfo());
  48.           	}
  49.  
  50.  
  51. ?>
[PHP] pobierz, plaintext


Z góry dziękuję za wszelką pomoc smile.gif
SmokAnalog
14.10.2020, 12:13:07
Ale nie wszędzie masz prepared statements. Tam, gdzie użyłeś bindParam, ładnie podstawiłeś, chociaż przyczepię się trzech rzeczy:

1. Dlaczego nazywasz pola formularza "1" i "2"?
2. Nie wiem dlaczego ludzie nadużywają bindParam(). Interesuje Cię raczej bindValue(), bo to pierwsze wiąże wartość z referencją, a nie wartością na dany moment. Poczytaj o tym.
3. PDO::PARAM_STR to domyślna wartość, możesz to pominąć, bo wiadomo, że domyślnie jest string.
viking
14.10.2020, 12:16:32
Cytat
'SELECT * FROM account WHERE email="'.$email.'"';

Dlaczego tu już nie ma bindowania? Czemu nie zastosujesz wyjątków zamiast ifów? Dalczego zezwalasz na wiele takich samych maili? W logowaniu iterujesz po wszystkich a i tak korzystasz z ostatniego. Czemu id_user jest w zapytaniu traktowany jako string? Naucz się że zawsze bindujesz parametry nawet jak sam je generujesz, będziesz bezpieczniejszy. Co jeśli mail nie dojdzie?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.