SQL injection

<?php require_once 'header.php'; ?>
<?php require_once 'func.php';   ?>
<?php if(!isset($_SESSION['user'])) { ?>
<?php if(!isset($_POST['submit'])) { ?>
<div id = "body" >
<div id = "forma">
<form method = "POST" Action = "<?php echo $_SERVER['PHP_SELF']; ?>" >
<table id = "tbl">
	<tr>
	<td style="width: 200px;">Vartotojo vardas : </td><td><input type = "text" name = "username" ></td>
	</tr><tr>
	<td>Vardas : </td><td><input type = "text" name = "name" ></td>
	</tr><tr>
	<td>Slaptažodis : </td><td><input type = "password" name = "pass" ></td>
	</tr><tr>
	<td>Pakartoti slaptažodį : </td><td><input type = "password" name = "repass" ></td>
	</tr><tr>
	<td>Miestas : </td><td><input type = "text" name = "city" ></td>
	</tr><tr>
	<td>E-mail : </td><td><input type = "text" name = "mail" ></td>
	</tr><tr>
	<td style = "text-align:center;"><br><input type = "submit" name = "submit" value = "Registruotis"  ></td>
	</tr>			
</table>
</form>
</div>
</div>
<?php 
} else {
		$username   = trim(mysql_real_escape_string($_POST['username']));	
		$name       = trim(mysql_real_escape_string($_POST['name']));
		$password   = trim(mysql_real_escape_string(md5($_POST['pass'])));
		$repassword = trim(md5($_POST['repass']));
		$email      = trim(mysql_real_escape_string($_POST['mail']));

	   }
} else {
	error('tu jau prisijungęs');

	}
	require_once 'footer.php'; ?>

Pradėjau mokytis PHP ir sakau reik pabandyt registraciją padaryt. Ir sustojau nes prisiminiau SQL injections nelabai ką aš apie jas nutuokiu. Taip taip sakysit google, ačiū man ji nepadėjo. ;) Norėčiau pagalbos iš jūsų.

Darau registraciją ir nežinau ar reikia visur naudoti mysql_real_escape_string Nelabai pagaunu šito. Būtų labai šaunu, jog paaiškintumėt daugiau apie tai iš anksto ačiū.

Ant password gali nebedet mysql_real... kadangi tu jau naudoji md5.

Ant password gali nebedet mysql_real... kadangi tu jau naudoji md5.

Taip pat ir mysql_real... naudot ir prisijungimo faile?

Taip pat ir mysql_real... naudot ir prisijungimo faile?

mysql_real.. yra kaip filtras ir ji reiktu naudot ant visu kintamuju kurie eis i sql uzklausa. Ant md5 nereikia naudot kadangi jis ir taip viska returnins md5 formatu ka tu i ta passwords inputa bevestum.

Aš taip ir masčiau kas eina į sql tą reik ir escapint ačiū labai vistiek :)

mysql_real.. yra kaip filtras ir ji reiktu naudot ant visu kintamuju kurie eis i sql uzklausa. Ant md5 nereikia naudot kadangi jis ir taip viska returnins md5 formatu ka tu i ta passwords inputa bevestum.

- Ar yra kokia nauda det juos ant ne tekstiniu kintamuju?

- Formu lauku reiksmes geriau validuot ir "keiktis" iskart, negu viska tik palikt issprest escapinimui..

raima220:

Pagal kokius raktazodzius google vartei, kad nieko neradai apie sql injection?

- Ar yra kokia nauda det juos ant ne tekstiniu kintamuju?

- Formu lauku reiksmes geriau validuot ir "keiktis" iskart, negu viska tik palikt issprest escapinimui..

 

raima220:

Pagal kokius raktazodzius google vartei, kad nieko neradai apie sql injection?

Aš radau apie sql injections bet man ta informacija nepadėjo. Todėl parašiau čia ;) tai ką tu pasiūlytum?

Aš radau apie sql injections bet man ta informacija nepadėjo. Todėl parašiau čia ;) tai ką tu pasiūlytum?

As suprantu, kad su zodziu "nepadejo" issidirbinet galima iki nukritimo, bet... Stai, i google ivedziau "php protect agaist sql injections" - ir pvz. nr.3 linkas (is simon.net.nz) turi visa informacija kurios tik gali reiketi del sql injections apsaugos.