скрипт авториз. на mysql

1. Arab (25.02.2009 / 12:43)
http://bola.net.ru/bola.zip (4kb)
Скрипт регистрации и авторизации на msql с сессиями и куками.
На ее основе хочу скрипт написать но если он окажеться дырявым то птом придется менять много страниц, что страшно. Прошу знающих за плюс проверить есть ли дыры или баги

2. Arab (25.02.2009 / 12:44)
содердимое архива можно загрузить в любую папку

3. Arab (25.02.2009 / 14:10)
вот пример
http://pomeo.h2m.ru/s
Вижу ошибку с переменной $id, на денвере этого небыло

4. Сергей (25.02.2009 / 14:43)
в 34строке $select_tbl=mysql_query("SELECT * FROM users where id='$id'");
Надо так вроде:
$select_tbl=mysql_query("SELECT * FROM users where id='".$id."';");

5. Андрюха (25.02.2009 / 15:06)
Ща проверим

6. Андрюха (25.02.2009 / 15:12)
Вроде норм ток функцию check_ful();
Проще сделать так:

function check($var){
return mysql_escape_string(addslashes(htmlspecialchars($var)));
}

И использовать например:

$login = check($_POST['login']);

7. Arab (25.02.2009 / 19:40)
обеим плюсы поставил И как сделать чтоб денвер все ошибки показывал?
Wapruks, ты в асе бываешь?

8. DURMAN (25.02.2009 / 20:02)
6. достаточно будет mysql_escape_string() для экранирования "'" и htmlspecialchars() для всего остального.
==
если переменная является целым числом, эффективнее будет использовать intval(); если нужно вылавливать все мелкие ошибки ввода юзера, можно использовать проверку на is_numeric(); - опять же если переменная должная быть только числом.
==
7. установи соответствующий error_reporting в .htaccess и/или конфиг файле скрипта

9. Arab (26.02.2009 / 08:49)
8, а ты попробуй intval'ом проверить переменную равную 123abc, она пропустит. Лучше is_numeric

10. Удаленный (26.02.2009 / 13:55)
2Wapruks, а если magic_quotes_gpc = on? Тогда добавятся лишние бек-слеши, чего абсолютно не нужно...

11. Удаленный (26.02.2009 / 13:58)
2Араб, она изменит значение до типа int (отрежет "abc") и тогда уже пропустит.

12. Arab (28.02.2009 / 11:25)
такс.
когда страницу входа, ну как input.php на моторе, когда эту страницу ставлю не в корневую сайтаиа в "сайт/папка" то после авторизации если ты находишься на главной то тебя не определяет как авторизованного пользователя, а если зайти в "сайт/любая_папка" то ты авторизованный юзер
То есть пришлось страницу авторизации поставить в корневую, как в моторе Вантуза
У мотора тоже input.php поэтому в корневой стоит а не в pages/ ?

13. Удаленный (28.02.2009 / 15:58)
Болик,учи учи пых,я тебя потом припахаю

URL: https://visavi.net/topics/601