скрипт авторизации при входе в личный кабинет:
<?php
$rezultat="";
if(isset($_POST['button']))
{
include "scripts/connection.php";
$query = sprintf("SELECT login,email,nick,money FROM accounts WHERE login=%s AND pass=%s",
quote_smart($_POST['name']),
quote_smart(md5($_POST['pass'])));
$result=mysql_query($query);
if(mysql_num_rows($result) > 0)
{
include "scripts/information.php";
exit();
} else
{
$rezultat="Введенный логин или пароль неверны!!!";
}
}
?>
<html>
<table border="0" align="center" width="600">
<tr>
<td height="50px" colspan="3">
<p><font color="navy" size="3">Для входа в личный кабинет необходима авторизация</font></p>
</td>
</tr>
<tr>
<td width="200">
<img src="Images/key.png" />
</td>
<td height="200">
<form id=form"3" name=form"3" method="post" action="">
<p><font color="navy" size="3">Введите логин</font></p>
<p>
<input name="name" type="text" maxlength="16" />
</p>
<p><font color="navy" size="3">Введите пароль</font></p>
<p>
<input name="pass" type="password" maxlength="16" />
</p>
<p>
<input type="submit" name="button" id="button" value=Подтвердить />
</p>
</form>
</td>
<td width="200">
<img src="Images/Locker.png" />
</td>
</tr>
<tr>
<td colspan="3" height="30">
<a href="registration.php">Зарегистрироваться</a>
</td>
</tr>
<tr>
<td height="80px" colspan="3">
<p><font color="red" size="3"><?php echo"$rezultat"; ?></font></p>
</td>
</tr>
</table>
</html>
личный кабинет:
<?php
if(mysql_num_rows($result) > 0)
{
$data = mysql_fetch_assoc($result);
$login= $data['login'];
$nick = $data['nick'];
$email= $data['email'];
$money= $data['money'];
} else
{
}
$banned="нарушений нет";
?>
<html>
<table border="0" align="center" width="850">
<tr>
<td height="70px" width="170px">
<img src="Images/login.png">
</td>
<td height="70px" width="170px">
<img src="Images/nick.png">
</td>
<td height="70px" width="170px">
<img src="Images/email.png">
</td>
<td height="70px" width="170px">
<img src="Images/money.png">
</td>
<td height="70px" width="170px">
<img src="Images/banned.png">
</td>
</tr>
<tr height="20">
<td>
<font color="#000066"><?php echo"$login"; ?></font>
</td>
<td>
<font color="#000066"><?php echo"$nick"; ?></font>
</td>
<td>
<font color="#000066"><?php echo"$email"; ?></font>
</td>
<td>
<font color="#000066"><?php echo"$money"; ?></font>
</td>
<td>
<font color="#000066"><?php echo"$banned"; ?></font>
</td>
</tr>
</table>
</html>
Спустя 32 минуты, 54 секунды (17.05.2011 - 19:54) alex12060 написал(а):
XSS, XSRF, SQL Inj
Довольно внушительно, не так ли?
Довольно внушительно, не так ли?
Спустя 38 минут, 15 секунд (17.05.2011 - 20:33) Floyd написал(а):
| Цитата (alex12060 @ 17.05.2011 - 16:54) |
| XSS, XSRF, SQL Inj Довольно внушительно, не так ли? |
Внушительно,но я как-бы привел код и попросил найти дыры...Если видите дыру,то прошу помочь.
ЗЫ особый интерес к инъекциям.
Спустя 1 минута, 39 секунд (17.05.2011 - 20:34) Krevedko написал(а):
да ужжж. данные вообще никак не обрабатываются.
даю подсказку. данные, приходящие в запрос извне типа твоих $_POST['name'] обязательно должны обрабатываться.
даю подсказку. данные, приходящие в запрос извне типа твоих $_POST['name'] обязательно должны обрабатываться.
Спустя 24 минуты, 4 секунды (17.05.2011 - 20:58) Floyd написал(а):
| Цитата (Krevedko @ 17.05.2011 - 17:34) |
| да ужжж. данные вообще никак не обрабатываются. даю подсказку. данные, приходящие в запрос извне типа твоих $_POST['name'] обязательно должны обрабатываться. |
как это не обрабатываются ? я же их использую в запросе к БД.
Спустя 2 минуты, 12 секунд (17.05.2011 - 21:01) XCross написал(а):
Спустя 10 минут, 4 секунды (17.05.2011 - 21:11) Floyd написал(а):
| Цитата (kmaks @ 17.05.2011 - 18:01) |
| http://phpforum.ru/index.php?showtopic=21213 Это минимум. |
Спасибо большое.
Спустя 10 минут, 27 секунд (17.05.2011 - 21:21) Krevedko написал(а):
| Цитата (Floyd @ 17.05.2011 - 17:58) | ||
как это не обрабатываются ? я же их использую в запросе к БД. |
не обрабатываются для защиты от инъекций. я это имел ввиду, если ты не понял. ссылку тебе хорошую дали. там все поймешь.
Спустя 11 минут, 13 секунд (17.05.2011 - 21:32) Floyd написал(а):
| Цитата (Krevedko @ 17.05.2011 - 18:21) | ||||
не обрабатываются для защиты от инъекций. я это имел ввиду, если ты не понял. ссылку тебе хорошую дали. там все поймешь. |
Ясно теперь) Спасибо большое.