скрипт авториз. на mysql
1.
Arab (25.02.2009 / 12:43)
http://bola.net.ru/bola.zip (4kb)
Скрипт регистрации и авторизации на msql с сессиями и куками.
На ее основе хочу скрипт написать но если он окажеться дырявым то птом придется менять много страниц, что страшно. Прошу знающих за плюс проверить есть ли дыры или баги
2.
Arab (25.02.2009 / 12:44)
содердимое архива можно загрузить в любую папку
3.
Arab (25.02.2009 / 14:10)
вот пример
http://pomeo.h2m.ru/s
Вижу ошибку с переменной $id, на денвере этого небыло
4.
Сергей (25.02.2009 / 14:43)
в 34строке $select_tbl=mysql_query("SELECT * FROM users where id='$id'");
Надо так вроде:
$select_tbl=mysql_query("SELECT * FROM users where id='".$id."';");
5.
Андрюха (25.02.2009 / 15:06)
Ща проверим
6.
Андрюха (25.02.2009 / 15:12)
Вроде норм ток функцию check_ful();
Проще сделать так:
function check($var){
return mysql_escape_string(addslashes(htmlspecialchars($var)));
}
И использовать например:
$login = check($_POST['login']);
7.
Arab (25.02.2009 / 19:40)
обеим плюсы поставил И как сделать чтоб денвер все ошибки показывал?
Wapruks, ты в асе бываешь?
8.
DURMAN (25.02.2009 / 20:02)
6. достаточно будет mysql_escape_string() для экранирования "'" и htmlspecialchars() для всего остального.
==
если переменная является целым числом, эффективнее будет использовать intval(); если нужно вылавливать все мелкие ошибки ввода юзера, можно использовать проверку на is_numeric(); - опять же если переменная должная быть только числом.
==
7. установи соответствующий error_reporting в .htaccess и/или конфиг файле скрипта
9.
Arab (26.02.2009 / 08:49)
8, а ты попробуй intval'ом проверить переменную равную 123abc, она пропустит. Лучше is_numeric
10.
Удаленный (26.02.2009 / 13:55)
2Wapruks, а если magic_quotes_gpc = on? Тогда добавятся лишние бек-слеши, чего абсолютно не нужно...
11.
Удаленный (26.02.2009 / 13:58)
2Араб, она изменит значение до типа int (отрежет "abc") и тогда уже пропустит.
12.
Arab (28.02.2009 / 11:25)
такс.
когда страницу входа, ну как input.php на моторе, когда эту страницу ставлю не в корневую сайтаиа в "сайт/папка" то после авторизации если ты находишься на главной то тебя не определяет как авторизованного пользователя, а если зайти в "сайт/любая_папка" то ты авторизованный юзер
То есть пришлось страницу авторизации поставить в корневую, как в моторе Вантуза
У мотора тоже input.php поэтому в корневой стоит а не в pages/ ?
13.
Удаленный (28.02.2009 / 15:58)
Болик,учи учи пых,я тебя потом припахаю
URL:
https://visavi.net/topics/601