Форум PHP программистов > Задача на корректную обработку данных

[ Поиск ] - [ Пользователи ] - [ Календарь ]

Полная Версия: Задача на корректную обработку данных

twin

7.07.2009 - 19:23

Решив эту несложную задачку, Вы раз и на всегда покончите с сомнениями на счет SQL-инъекций и правильного отображения данных.

Задача.
Написать скрипт регистрации. Он должен:
1. Сохранять в базе MySQL имя, полученное из формы методом POST
2. Выводить список всех зарегистрировавшихся пользователей в обратном порядке, последнего зарегистрировавшегося на первом месте.
3. Имена в списке должны быть представлены в виде ссылок, при нажатии на которую должна появится дата регистрации.
4. Иметь поисковик, который должен осуществлять поиск по полю с именами и выводить все имеющиеся совпадения (по части слова).

Требования.
1. В имени могут присутствовать абсолютно любые символы, включая пробел. Исключением является только пробел в чистом виде, без других символов.
2. Имя должно выводиться в браузер без искажений.
3. При осуществлении поиска слово, набранное в поле, должно возвращаться обратно в форму.
4. Форма поиска должна отправляться методом GET
5. Скрипт не должен зависеть от настройки magic_quotes.

Безопасность
1. Скрипт должен быть защищен от SQL-инъекций
2. Должна быть защита от F5
3. Страница должна быть защищена от XSS атак.

Кроме того важны оптимальность, читабельность и стиль написания.

Формат базы данных:

CREATE DATABASE `names`;

CREATE TABLE `names` (
`id` INT( 11 ) NOT NULL AUTO_INCREMENT ,
`date` TIMESTAMP NOT NULL ,
`name` VARCHAR( 250 ) NOT NULL ,
PRIMARY KEY ( `id` ) 
);

Имена для проверки:
O'Relly
Mc''donalds
volt&
I 100% know
Guest004
<Jensen & partners>
2*2=5?
\ bacslashes \
-=++++
%%%%
_____

PS. Если Вы хотите понять раз и на всегда основы клиент-серверных взаимодействий, забудьте такие слова как некогда, неохота, я лучше спрошу и дождусь готового решения. Решив эту задачу один раз Вы больше не станете задавать несуразных вопросов и сможете спать спокойно. Не опасаясь за безопасность своих скриптов.

Ответы можно выкладывать в отдельные темы, где будет произведен детальный разбор полетов.

Ответы на задачу:

Спустя 5 месяцев, 17 дней, 4 часа, 16 минут, 27 секунд (24.12.2009 - 23:40) VolCh написал(а):

Цитата

1. В имени могут присутствовать абсолютно любые символы, включая пробел. Исключением является только пробел в чистом виде, без других символов.

Ведущие и конечные пробелы являются допустимыми?

Спустя 27 минут, 40 секунд (25.12.2009 - 00:08) VolCh написал(а):

Цитата

Формат базы данных:

<pre class="sh_sourceCode" rel="sql">CREATE DATABASE `names`;

CREATE TABLE `names` (
`id` INT( 11 ) NOT NULL AUTO_INCREMENT ,
`date` TIMESTAMP NOT NULL ,
`name` VARCHAR( 250 ) NOT NULL ,
PRIMARY KEY ( `id` ) </pre>
);

- ошибка :)

Должно быть <pre class="sh_sourceCode" rel="sql">CREATE DATABASE `names`;
USE `names`;

CREATE TABLE `names` (
`id` INT( 11 ) NOT NULL AUTO_INCREMENT ,
`date` TIMESTAMP NOT NULL ,
`name` VARCHAR( 250 ) NOT NULL ,
PRIMARY KEY ( `id` )
);</pre>
Иначе таблица создается в текущей БД, а не в names

Спустя 2 часа, 2 минуты, 50 секунд (25.12.2009 - 02:10) twin написал(а):

VolCh

Цитата

Ведущие и конечные пробелы являются допустимыми?

Это не суть важно, есть там trim() или нет. Это уже ближе к вопросу модерации, а не отображения. За таблицу спасибо.

Спустя 1 месяц, 16 дней, 23 часа, 38 минут, 19 секунд (14.02.2010 - 01:49) qpayct написал(а):

Цитата (twin @ 25.12.2009 - 01:10)

VolCh

Цитата

Ведущие и конечные пробелы являются допустимыми?

Это не суть важно, есть там trim() или нет. Это уже ближе к вопросу модерации, а не отображения. За таблицу спасибо.

Логичней делать trim() до записи в базу - один раз, чем при каждом выводе из базы в последствии. Это избавит от проблемы некорректности поиска, которому для сравнения придется тоже делать trim(). Так что функцию очистки делаем до записи в базу и тем самым экономим ресурсы потом.
Я не увидел ни в одном решении задачи включая пример Твина ответа на вопрос, как правильно экранировать спец.символы(% и _) и еще так и не понял, почему обратный слэш возвращает в поиске %?

Спустя 5 месяцев, 22 дня, 22 часа, 45 минут, 44 секунды (6.08.2010 - 23:34) Guest написал(а):

а как сделать так,чтобы когда обновляешь страницу старые данные не записывались в таблицу.
unset ($_POST['name']) что-то не помогает

Спустя 5 минут, 47 секунд Guest написал(а):

а в каком месте должна появиться дата регистрации?
на месте ссылки или на новой странице?

Спустя 36 минут, 23 секунды (7.08.2010 - 00:11) twin написал(а):

Цитата

а как сделать так,чтобы когда обновляешь страницу старые данные не записывались в таблицу.
unset ($_POST['name']) что-то не помогает

это задача. :) Тут ответы можно искать только в решениях.

Цитата

а в каком месте должна появиться дата регистрации?
на месте ссылки или на новой странице?

А не важно. Лишь бы былО. И былО правильно.

Спустя 1 месяц, 26 дней, 16 часов, 48 минут, 33 секунды (3.10.2010 - 16:59) Xpund написал(а):

<pre class="sh_sourceCode" rel="php">$query = "SELECT name
FROM `names`
WHERE `name`='".$login."'
";
$row = mysql_query($query) or die (mysql_error());
if (mysql_num_rows($row) > 0)
{
echo "Takoi user imeetsya <hr>";
}</pre>
Такой зашиты от F5 хватит?

Спустя 15 часов, 48 минут, 40 секунд (4.10.2010 - 08:48) Basili4 написал(а):

Xpund
Такой защитой сервак нагнуть можно.

Спустя 1 час, 41 минута, 20 секунд (4.10.2010 - 10:29) Xpund написал(а):

Basili4
=) А по конкретнее?

Спустя 9 минут, 52 секунды (4.10.2010 - 10:39) silius написал(а):

Цитата (Guest @ 6.08.2010 - 20:34)

после сохранения данных в таблицу делать:

header("Location: ...");

Спустя 2 часа, 34 минуты, 30 секунд (4.10.2010 - 13:14) twin написал(а):

Xpund
По конкретнее открой ветку и спроси. А лучше реши задачу.

Закрою от греха, чего тут оффтопите..

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image

Быстрый ответ:

Здесь расположена полная версия этой страницы.