Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 22

Discussione: AntiSQL injection

  1. 27-07-2013, 20:21 #1
    GalaxyOF
    GalaxyOF non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2013
    Messaggi
    18

    AntiSQL injection

    Salve ragazzi ,

    Oggi sono qui con un grosso problema che non riesco proprio a risolvere , ho aperto un sito collegato DNS a un server dedicato , fino a qui tutto apposto , ma cosa succede? Ogni volta che mettiamo ONLINE il game e il register.php ci attaccano con sql injection , premetto che abbiamo messo antiddos , settato firewall e porte , ma non abbiamo alcuna protezione contro gli sql injection .

    Ho visto tante guide sul web e alcune anche in questo forum ma non mi sono proprio piaciute , volevo una guida semplice da seguire passo passo per poter inserire nelle pagine php le stringhe di code che possano bloccare/prevenire eventuali attacchi sql .

    Grazie
    Rispondi quotando Rispondi quotando
  2. 27-07-2013, 21:28 #2
    Alhazred
    Alhazred non è in linea
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,505
    Se passi tutte le stringhe provenienti da richieste post e get che devono interagire col DB alla funzione mysql_real_escape_string() hai risolto il problema al 95%

    Poi quando ricevi dati get o post fa anche un controllo che contengano dati coerenti con ciò che ti aspetti, del tipo che se deve arrivare un numero e invece arrivano dei caratteri alfabetici o segni di interpunzione o altro blocchi l'esecuzione e mostri un messaggio d'errore, se ti aspetti una stringa di tot caratteri e ne arriva una più lunga o più corta fai lo stesso e così via.

    Non ci vuole poi molto a mettersi al sicuro da SQL injection.
    Rispondi quotando Rispondi quotando
  3. 28-07-2013, 17:45 #3
    GalaxyOF
    GalaxyOF non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2013
    Messaggi
    18
    Fammi capire bene un secondo , in pratica dovrei aggiungere quella string:

    codice:
    mysql_real_escape_string()
    In tutte le pagine cosicché vengono esclusi quei caratteri tipo "'" che posso creare problemi ?
    O sbaglio ? Cosa devo aggiungere e dove? Devo fare altro? Devo modificare parametri?
    Rispondi quotando Rispondi quotando
  4. 28-07-2013, 22:55 #4
    EvilEmpire
    EvilEmpire non è in linea
    Utente di HTML.it L'avatar di EvilEmpire
    Registrato dal
    May 2004
    Messaggi
    46
    Il web è una giungla... comunque se usi mysql_real_escape_string() insieme alle espressioni regolari utilizzando la funzione preg_match() sarai più protetto. Ovviamente non lo sarai mai al 100% ma l'SQL injection sfrutta proprio l'assenza di queste due funzioni.
    Rispondi quotando Rispondi quotando
  5. 29-07-2013, 17:56 #5
    GalaxyOF
    GalaxyOF non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2013
    Messaggi
    18
    Puoi illustrarmi come usare e inserire queste due funzioni?
    Rispondi quotando Rispondi quotando
  6. 29-07-2013, 18:21 #6
    LuigiMem
    LuigiMem non è in linea
    Utente di HTML.it L'avatar di LuigiMem
    Registrato dal
    Jul 2009
    Messaggi
    232
    Originariamente inviato da GalaxyOF
    Fammi capire bene un secondo , in pratica dovrei aggiungere quella string:

    codice:
    mysql_real_escape_string()
    In tutte le pagine cosicché vengono esclusi quei caratteri tipo "'" che posso creare problemi ?
    O sbaglio ? Cosa devo aggiungere e dove? Devo fare altro? Devo modificare parametri?
    Le creare le injection solitamente sfruttano i form, quindi in tutti i casi incui hai delle form o comunque dei passaggi di variabili la variabile prima di utilizzarla la inserisci nella funzione che ti hanno dato.

    es recuper in GET:
    $nome = $_GET['nome'];
    mysql_real_escape_string($nome);
    ..
    query...
    ..

    in POST:
    $nome = $_POST['nome'];
    mysql_real_escape_string($nome);
    ..
    query...
    ..

    per tutte le varibiali!
    ciao
    Rispondi quotando Rispondi quotando
  7. 29-07-2013, 19:41 #7
    Alhazred
    Alhazred non è in linea
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,505
    Originariamente inviato da GalaxyOF
    Fammi capire bene un secondo , in pratica dovrei aggiungere quella string:

    codice:
    mysql_real_escape_string()
    In tutte le pagine cosicché vengono esclusi quei caratteri tipo "'" che posso creare problemi ?
    O sbaglio ? Cosa devo aggiungere e dove? Devo fare altro? Devo modificare parametri?
    Si tratta di una funzione, potresti anche leggerne le specifiche sulla documentazione di PHP per vedere come funziona, invece di chiedere ed aspettare che ti si risponda.

    mysql_real_escape_string()
    Rispondi quotando Rispondi quotando
  8. 30-07-2013, 11:35 #8
    GalaxyOF
    GalaxyOF non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2013
    Messaggi
    18
    Guardate questo form LOGIN.PHP :

    codice:
      <div id="left_wrapper"> <div class="header"> <h2><span><?php echo CMS_SERV_NAME; ?> //</span> LOGIN</h2> </div> <div id="post_wrapper">  <div id="body"> <?php if(!$login) { $form = true; if(isset($_POST['userbox'])) { $user = $_POST['userbox']; mysql_real_escape_string($userbox) $pw = $_POST['password']; mysql_real_escape_string($password) $sql = "SELECT dwUserID FROM TGLOBAL_GSP.dbo.TACCOUNT WHERE szUserID = ? AND szPasswd = '$pw'"; $stmt = odbc_prepare($gcon, $sql); odbc_execute($stmt, array($user, $pw)); if(odbc_num_rows($stmt) === 1) { echo '

You have successfully logged in!
If the automatic redirect doesn&apos; t work, click here.</p>'; echo '<meta http-equiv="refresh" content="3; URL=./user_cp.php">'; $_SESSION['user'] = $user; $form = false; } else { echo '

You have entered wrong username or password!</p>'; } } if($form) { echo' <form action="login.php" method="post"> <label>Name (required)</label> <input type="text" name="userbox" id="userbox" /> <label>Password (required)</label> <input type="password" name="password" id="password" />

 <div class="form_submit"><input type="submit" value="Login" class="read_more2" /></div> </form>'; } } else { echo '

You cannot log in when you are already logged in.
&raquo; Back to Homepage</p>'; } ?> </div>  <div class="clear"></div> </div> </div>   <div id="right_wrapper"> <div id="search"> <input type="text" onblur="if(this.value =='') this.value='search'" onfocus="if (this.value == 'search') this.value=''" value="search" name="s" class="required" id="s" /> <input type="button" /> </div> <div class="categories"> <div class="header">Menu</div> <ul>[*] Home[*] Register[*] Rules[/list]</div>   </div> <div class="bottom_shadow"></div>
    L'ho inserito bene l'antisql?
    Guardate quest'altro register.php , qui l'ho inserito bene?

    codice:
      <div id="left_wrapper"> <div class="header"> <h2><span><?php echo CMS_SERV_NAME; ?> //</span> Register</h2> </div> <div id="post_wrapper">  <div id="body"> <?php if(!$login) { $form = true; /*if(isset($_GET['v'])) { $vCode = $_GET['v']; $vCode = mysql_real_escape_string($vCode); if(!CheckSQL($vCode)) { echo '<meta http-equiv="refresh" content="0; url=index.php">'; exit(); } $sql0 = "SELECT name, passwd, mail FROM user_verify WHERE eCode = '".$vCode."'"; $q0 = mysql_query($sql0); if(mysql_num_rows($q0) != 0) { $dat0 = mysql_fetch_assoc($q0); $uName = $dat0['name']; mysql_real_escape_string($name) $uPW = $dat0['passwd']; mysql_real_escape_string($passwd) $uMail = $dat0['mail']; mysql_real_escape_string($mail) $sql0 = "DELETE FROM user_verify WHERE eCode = '".$vCode."'"; $q0 = mysql_query($sql0); $sql0 = "SELECT MAX(dwUserID) AS Result FROM TGLOBAL_GSP.dbo.TACCOUNT"; $q0 = odbc_exec($gcon, $sql0); $count0 = odbc_fetch_array($q0); $count = $count0['Result']; mysql_real_escape_string($Result) $date = date("Y-m-d H:i:s"); $sql = "INSERT INTO TGLOBAL_GSP.dbo.TACCOUNT(dwUserID, szUserID, szPasswd, bCheck, dFirstLogin, szMail) VALUES($count + 1, '".$uName."', '".$uPW."', '1', {ts'".$date."'}, '".$uMail."')"; $q = odbc_exec($gcon, $sql); echo '

Your account has been created! You can login now!
&raquo; Login</p>'; $form = false; } else { echo '

Please enter again the reCaptcha Code!
&raquo; Registration</p>'; $form = false; } }*/ if(isset($_POST['userbox'])) { $user = $_POST['userbox']; mysql_real_escape_string($userbox) $mail = $_POST['email']; mysql_real_escape_string($email) $pw = $_POST['password']; mysql_real_escape_string($password) $pw2 = $_POST['password2']; mysql_real_escape_string($password2) require_once('includes/recaptchalib.php'); $resp = recaptcha_check_answer (CMS_PRKEY, $_SERVER["REMOTE_ADDR"], $_POST["recaptcha_challenge_field"], $_POST["recaptcha_response_field"]); $user = mysql_real_escape_string($user); $mail = mysql_real_escape_string($mail); //$verifyCode = md5(sha1(sha1($user) . $mail . rand(0, 999) . sha1($mail . $user) . md5(sha1($mail . rand(0, 999)) . $pw))); if(check_mail($mail) && $pw == $pw2 && check_name($user) && strlen($user) < 21 && strlen($user) > 5 && $resp->is_valid) { $sql0 = "SELECT szUserID FROM TGLOBAL_GSP.dbo.TACCOUNT WHERE szUserID = ?"; $stmt0 = odbc_prepare($gcon, $sql0); $re0 = odbc_execute($stmt0, array($user)); $nFree = odbc_num_rows($stmt0); if($nFree == 0) { /*$sql = "INSERT INTO user_verify (Name, Passwd, Mail, eCode) VALUES ( '".$user."', '".$pw."', '".$mail."', '".$verifyCode."')"; $q = mysql_query($sql); $title = 'Account Created'; $msg = 'You have successfully registered on35.114.59.27:81/index.php\r\n Please click on the following link to complete the registration!\r\n\r\n http://37.114.59.27:81/register.php?v='.$verifyCode.'\r\n\r\nmfg The4thStory - Team'; $header = 'From: noreply@domain.com'; mail($mail, $title, $msg, $header); echo '

It has been sent to your email address to an confirmation email!
 Please click on the registration link sent to your email to create the account. Please check also your Spam or Junked Files.

 &raquo; Login</p>';*/ $sql0 = "SELECT MAX(dwUserID) AS Result FROM TGLOBAL_GSP.dbo.TACCOUNT"; $q0 = odbc_exec($gcon, $sql0) or die (odbc_error()); $count0 = odbc_fetch_array($q0); $count = $count0['Result']; $date = date("Y-m-d H:i:s"); $SuckThisEmail = $mail; $sql = "INSERT INTO TGLOBAL_GSP.dbo.TACCOUNT(dwUserID, szUserID, szPasswd, bCheck, dFirstLogin, dLastLogin, szMail) VALUES(? , ?, ?, '1', {ts'".$date."'}, {ts'".$date."'}, '$SuckThisEmail')"; $stmt = odbc_prepare($gcon, $sql); odbc_execute($stmt, array($count + 1, $user, $pw, $mail)); $password = $pw; $salt = getRandomID(); $password_salted = getDoubleSaltedHash($password, $salt); $ip = $_SERVER['REMOTE_ADDR']; $sql1 = "INSERT INTO wcf.wcf1_user (`username`, `email`, `password`, `salt`, `languageID`, `registrationDate`, `styleID`, `activationCode`, `registrationIpAddress`, `lastLostPasswordRequest`, `reactivationCode`, `lastUsernameChange`, `quitStarted`, `banned`, `banReason`, `rankID`, `activityPoints`, `avatarID`, `disableAvatar`, `disableAvatarReason`, `profileHits`, `enableSignatureSmilies`, `enableSignatureHtml`, `enableSignatureBBCodes`, `disableSignature`, `disableSignatureReason`, `pmTotalCount`, `pmUnreadCount`, `pmOutstandingNotifications`, `userOnlineGroupID`) VALUE ('".$user."', '".$mail."', '".$password_salted."', '".$salt."', '2', '".time()."', '0', '0', '".$ip."', '0', '0', '0', '0', '0', '', '0', '0', '0', '0', '', '0', '1', '0', '1', '0', '', '0', '0', '0', '3')"; $q1 = mysql_query($sql1); $sql0 = "SELECT userID FROM wcf.wcf1_user WHERE username = '".$user."'"; $q0 = mysql_query($sql0) or die (mysql_error()); $dat = mysql_fetch_assoc($q0); $userID = $dat['userID']; $sql00 = "INSERT INTO wcf.wcf1_user_to_groups (`userID`, `groupID`) VALUES ('".$userID."', '1')"; $q00 = mysql_query($sql00); $sql00 = "INSERT INTO wcf.wcf1_user_to_groups (`userID`, `groupID`) VALUES ('".$userID."', '3')"; $q00 = mysql_query($sql00); echo '

Your account has been sucessfuly created! You can now Login in the link below.
&raquo; Proceed to Login</p>'; $form = false; } else { $error = 'This username is already taken!!'; } } else { if(!check_mail($mail)) $error = 'The e-mail you entered is not valid!'; if($pw == $pw2) $error = 'The passwords doesn&apos; t match!'; if(!check_name($user) || strlen($user) > 20 || strlen($user) < 6) $error = 'The user name must not contain special characters and must be 6-20 characters long!'; if(!$resp->is_valid) $error = 'The reCaptcha has not been solved properly!'; } } if($form) { echo '<h4>Create Account</h4>'; echo' <form action="register.php" method="post"> <label>Name (*required)</label> <input type="text" name="userbox" id="userbox" /> <label>E-mail (*required)</label> <input type="text" name="email" id="email" /> <label>Password (*required)</label> <input type="password" name="password" id="password" /> <label>Re-enter password (*required)</label> <input type="password" name="password2" id="password2" />

'; require_once('includes/recaptchalib.php'); echo recaptcha_get_html(CMS_PUKEY); echo '
<input type="submit" value="Submit and Create Account" class="read_more2" /> </form>'; if(isset($error)) { echo '


'.$error.'</p>'; } } } else { echo '

You can&apos; t create an account, when you are logged in!
&raquo; Back to Homepage</p>'; } ?> </div>  <div class="clear"></div> </div> </div>
    Devo metterlo solo in register.php e login.php o anche negli altri form come contact.php?
    Praticamente ogni volta che vedo una cosa tipo:
    codice:
    $oldpw = $_POST['oldpw']
    Devo mettere
    codice:
    mysql_real_escape_string($oldpw)
    Giusto o no?
    Rispondi quotando Rispondi quotando
  9. 30-07-2013, 12:24 #9
    LuigiMem
    LuigiMem non è in linea
    Utente di HTML.it L'avatar di LuigiMem
    Registrato dal
    Jul 2009
    Messaggi
    232
    Originariamente inviato da GalaxyOF
    Guardate questo form LOGIN.PHP :

    codice:
      <div id="left_wrapper"> <div class="header"> <h2><span><?php echo CMS_SERV_NAME; ?> //</span> LOGIN</h2> </div> <div id="post_wrapper">  <div id="body"> <?php if(!$login) { $form = true; if(isset($_POST['userbox'])) { $user = $_POST['userbox']; mysql_real_escape_string($userbox) $pw = $_POST['password']; mysql_real_escape_string($password) $sql = "SELECT dwUserID FROM TGLOBAL_GSP.dbo.TACCOUNT WHERE szUserID = ? AND szPasswd = '$pw'"; $stmt = odbc_prepare($gcon, $sql); odbc_execute($stmt, array($user, $pw)); if(odbc_num_rows($stmt) === 1) { echo '

You have successfully logged in!
If the automatic redirect doesn&apos; t work, click here.</p>'; echo '<meta http-equiv="refresh" content="3; URL=./user_cp.php">'; $_SESSION['user'] = $user; $form = false; } else { echo '

You have entered wrong username or password!</p>'; } } if($form) { echo' <form action="login.php" method="post"> <label>Name (required)</label> <input type="text" name="userbox" id="userbox" /> <label>Password (required)</label> <input type="password" name="password" id="password" />

 <div class="form_submit"><input type="submit" value="Login" class="read_more2" /></div> </form>'; } } else { echo '

You cannot log in when you are already logged in.
&raquo; Back to Homepage</p>'; } ?> </div>  <div class="clear"></div> </div> </div>   <div id="right_wrapper"> <div id="search"> <input type="text" onblur="if(this.value =='') this.value='search'" onfocus="if (this.value == 'search') this.value=''" value="search" name="s" class="required" id="s" /> <input type="button" /> </div> <div class="categories"> <div class="header">Menu</div> <ul>[*] Home[*] Register[*] Rules[/list]</div>   </div> <div class="bottom_shadow"></div>
    L'ho inserito bene l'antisql?
    Guardate quest'altro register.php , qui l'ho inserito bene?

    codice:
      <div id="left_wrapper"> <div class="header"> <h2><span><?php echo CMS_SERV_NAME; ?> //</span> Register</h2> </div> <div id="post_wrapper">  <div id="body"> <?php if(!$login) { $form = true; /*if(isset($_GET['v'])) { $vCode = $_GET['v']; $vCode = mysql_real_escape_string($vCode); if(!CheckSQL($vCode)) { echo '<meta http-equiv="refresh" content="0; url=index.php">'; exit(); } $sql0 = "SELECT name, passwd, mail FROM user_verify WHERE eCode = '".$vCode."'"; $q0 = mysql_query($sql0); if(mysql_num_rows($q0) != 0) { $dat0 = mysql_fetch_assoc($q0); $uName = $dat0['name']; mysql_real_escape_string($name) $uPW = $dat0['passwd']; mysql_real_escape_string($passwd) $uMail = $dat0['mail']; mysql_real_escape_string($mail) $sql0 = "DELETE FROM user_verify WHERE eCode = '".$vCode."'"; $q0 = mysql_query($sql0); $sql0 = "SELECT MAX(dwUserID) AS Result FROM TGLOBAL_GSP.dbo.TACCOUNT"; $q0 = odbc_exec($gcon, $sql0); $count0 = odbc_fetch_array($q0); $count = $count0['Result']; mysql_real_escape_string($Result) $date = date("Y-m-d H:i:s"); $sql = "INSERT INTO TGLOBAL_GSP.dbo.TACCOUNT(dwUserID, szUserID, szPasswd, bCheck, dFirstLogin, szMail) VALUES($count + 1, '".$uName."', '".$uPW."', '1', {ts'".$date."'}, '".$uMail."')"; $q = odbc_exec($gcon, $sql); echo '

Your account has been created! You can login now!
&raquo; Login</p>'; $form = false; } else { echo '

Please enter again the reCaptcha Code!
&raquo; Registration</p>'; $form = false; } }*/ if(isset($_POST['userbox'])) { $user = $_POST['userbox']; mysql_real_escape_string($userbox) $mail = $_POST['email']; mysql_real_escape_string($email) $pw = $_POST['password']; mysql_real_escape_string($password) $pw2 = $_POST['password2']; mysql_real_escape_string($password2) require_once('includes/recaptchalib.php'); $resp = recaptcha_check_answer (CMS_PRKEY, $_SERVER["REMOTE_ADDR"], $_POST["recaptcha_challenge_field"], $_POST["recaptcha_response_field"]); $user = mysql_real_escape_string($user); $mail = mysql_real_escape_string($mail); //$verifyCode = md5(sha1(sha1($user) . $mail . rand(0, 999) . sha1($mail . $user) . md5(sha1($mail . rand(0, 999)) . $pw))); if(check_mail($mail) && $pw == $pw2 && check_name($user) && strlen($user) < 21 && strlen($user) > 5 && $resp->is_valid) { $sql0 = "SELECT szUserID FROM TGLOBAL_GSP.dbo.TACCOUNT WHERE szUserID = ?"; $stmt0 = odbc_prepare($gcon, $sql0); $re0 = odbc_execute($stmt0, array($user)); $nFree = odbc_num_rows($stmt0); if($nFree == 0) { /*$sql = "INSERT INTO user_verify (Name, Passwd, Mail, eCode) VALUES ( '".$user."', '".$pw."', '".$mail."', '".$verifyCode."')"; $q = mysql_query($sql); $title = 'Account Created'; $msg = 'You have successfully registered on35.114.59.27:81/index.php\r\n Please click on the following link to complete the registration!\r\n\r\n http://37.114.59.27:81/register.php?v='.$verifyCode.'\r\n\r\nmfg The4thStory - Team'; $header = 'From: noreply@domain.com'; mail($mail, $title, $msg, $header); echo '

It has been sent to your email address to an confirmation email!
 Please click on the registration link sent to your email to create the account. Please check also your Spam or Junked Files.

 &raquo; Login</p>';*/ $sql0 = "SELECT MAX(dwUserID) AS Result FROM TGLOBAL_GSP.dbo.TACCOUNT"; $q0 = odbc_exec($gcon, $sql0) or die (odbc_error()); $count0 = odbc_fetch_array($q0); $count = $count0['Result']; $date = date("Y-m-d H:i:s"); $SuckThisEmail = $mail; $sql = "INSERT INTO TGLOBAL_GSP.dbo.TACCOUNT(dwUserID, szUserID, szPasswd, bCheck, dFirstLogin, dLastLogin, szMail) VALUES(? , ?, ?, '1', {ts'".$date."'}, {ts'".$date."'}, '$SuckThisEmail')"; $stmt = odbc_prepare($gcon, $sql); odbc_execute($stmt, array($count + 1, $user, $pw, $mail)); $password = $pw; $salt = getRandomID(); $password_salted = getDoubleSaltedHash($password, $salt); $ip = $_SERVER['REMOTE_ADDR']; $sql1 = "INSERT INTO wcf.wcf1_user (`username`, `email`, `password`, `salt`, `languageID`, `registrationDate`, `styleID`, `activationCode`, `registrationIpAddress`, `lastLostPasswordRequest`, `reactivationCode`, `lastUsernameChange`, `quitStarted`, `banned`, `banReason`, `rankID`, `activityPoints`, `avatarID`, `disableAvatar`, `disableAvatarReason`, `profileHits`, `enableSignatureSmilies`, `enableSignatureHtml`, `enableSignatureBBCodes`, `disableSignature`, `disableSignatureReason`, `pmTotalCount`, `pmUnreadCount`, `pmOutstandingNotifications`, `userOnlineGroupID`) VALUE ('".$user."', '".$mail."', '".$password_salted."', '".$salt."', '2', '".time()."', '0', '0', '".$ip."', '0', '0', '0', '0', '0', '', '0', '0', '0', '0', '', '0', '1', '0', '1', '0', '', '0', '0', '0', '3')"; $q1 = mysql_query($sql1); $sql0 = "SELECT userID FROM wcf.wcf1_user WHERE username = '".$user."'"; $q0 = mysql_query($sql0) or die (mysql_error()); $dat = mysql_fetch_assoc($q0); $userID = $dat['userID']; $sql00 = "INSERT INTO wcf.wcf1_user_to_groups (`userID`, `groupID`) VALUES ('".$userID."', '1')"; $q00 = mysql_query($sql00); $sql00 = "INSERT INTO wcf.wcf1_user_to_groups (`userID`, `groupID`) VALUES ('".$userID."', '3')"; $q00 = mysql_query($sql00); echo '

Your account has been sucessfuly created! You can now Login in the link below.
&raquo; Proceed to Login</p>'; $form = false; } else { $error = 'This username is already taken!!'; } } else { if(!check_mail($mail)) $error = 'The e-mail you entered is not valid!'; if($pw == $pw2) $error = 'The passwords doesn&apos; t match!'; if(!check_name($user) || strlen($user) > 20 || strlen($user) < 6) $error = 'The user name must not contain special characters and must be 6-20 characters long!'; if(!$resp->is_valid) $error = 'The reCaptcha has not been solved properly!'; } } if($form) { echo '<h4>Create Account</h4>'; echo' <form action="register.php" method="post"> <label>Name (*required)</label> <input type="text" name="userbox" id="userbox" /> <label>E-mail (*required)</label> <input type="text" name="email" id="email" /> <label>Password (*required)</label> <input type="password" name="password" id="password" /> <label>Re-enter password (*required)</label> <input type="password" name="password2" id="password2" />

'; require_once('includes/recaptchalib.php'); echo recaptcha_get_html(CMS_PUKEY); echo '
<input type="submit" value="Submit and Create Account" class="read_more2" /> </form>'; if(isset($error)) { echo '


'.$error.'</p>'; } } } else { echo '

You can&apos; t create an account, when you are logged in!
&raquo; Back to Homepage</p>'; } ?> </div>  <div class="clear"></div> </div> </div>
    Devo metterlo solo in register.php e login.php o anche negli altri form come contact.php?
    Praticamente ogni volta che vedo una cosa tipo:
    codice:
    $oldpw = $_POST['oldpw']
    Devo mettere
    codice:
    mysql_real_escape_string($oldpw)
    Giusto o no?

    attenzione che cosi come lo hai meso non ha senso!

    NO: $user = $_POST['userbox']; mysql_real_escape_string($userbox)

    o fai:

    $user = $_POST['userbox'];
    $user = mysql_real_escape_string($user);

    o più pratico:
    $user = mysql_real_escape_string($_POST['userbox']);

    ricordati il ";" alla fine mi sembra che qualcuno manchi!

    cosi per tutte!
    ciao
    Rispondi quotando Rispondi quotando
  10. 30-07-2013, 12:44 #10
    GalaxyOF
    GalaxyOF non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2013
    Messaggi
    18
    Quindi in questo modo:

    $user = $_POST['userbox'];
    $user = mysql_real_escape_string($user);
    $pw = $_POST['password'];
    $pw = mysql_real_escape_string($pw);


    Ma devo metterlo oltre a login e register anche in contact , cp_user , cp_admin etc...?
    DOPO IN TUTTE le stringhe di questo tipo:
    $qualcosa = $_qualcosa['qualcosa'];

    Giusto?
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.