Suggerimenti per la "sicurezza"

**Wilfred87** · 28-07-2010, 11:22

Ciao a tutti ragazzi, premetto che non sono una cima nella programmazione ma sto cercando di imparare piano piano le cose ^_^

Vi volevo chiedere come riga questa, secondo voi, è scritta bene? Cioè presenta falle che potrebbero essere scoperte o errori?

Ecco qui:

<?php
include('db.php');
include('session.php');
if($user!="")
{
$select=mysql_fetch_array(mysql_query("SELECT * FROM user where nome ='".$user."'));
if($select[ban]=="0"){
?>

^_^

**ilNotturn0** · 28-07-2010, 13:25

Che c'è dentro i file session e db?
Dove e come viene dichiarata $user?

**Wilfred87** · 28-07-2010, 13:30

Dentro il File DB e Session ci sono i colelgamenti al Database e alle Sessioni degli utenti quelli sono ok ^_^

In che senso dove viene dichiarata?

Sono alle prime armi aimè

**ilNotturn0** · 28-07-2010, 13:51

Nel senso, cosa ci sta dentro la variabile $user?
Se fai un confronto indicando $user!="" vuol dire che prima di quel punto tu pensi di aver messo qualcosa dentro quella variabile.

E tranquillo, siamo stati tutti alle prime armi (io mi ci considero ancora!)

**Wilfred87** · 28-07-2010, 14:03

io ho messo così:

<?php
include('db.php');
include('session.php');
if($user!="")
{
$select=mysql_fetch_array(mysql_query("SELECT * FROM user WHERE nome ='".$user."'"));
if($select[ban]=="0"){
if(($select[idmestiere]=="100") || ($user=="0")){
?>

Non so se ho sbagliato oppure no

Grazie comunque, avrò molto da imparare da ognuno di voi

**ilNotturn0** · 28-07-2010, 14:56

Aspetta, non ci siamo capiti.
Tu hai queste righe di codice inizialmente:

Codice PHP:


<?php

include('db.php');

include('session.php');

if($user!="")

{

che tradotto in linguaggio umano vogliono dire:
- includi file db.php
- includi file session.php
- se la variabile $user è diversa da "" allora fai così

Ora la domanda è: quella variabile, che sarebbe?
Più semplice ancora, prima di quel momento, quando la usi per la prima volta?

Se è la prima volta che la usi è sbagliato il codice: ovviamente non sarà mai diversa da "". Altrimenti devi dirci dove la usi.

Così è come dire "va bene questo codice" senza farcelo vedere.

**Wilfred87** · 28-07-2010, 15:08

Questo codice sta sempre nella prima riga di ogni pagina del sito (Tranne in db.php e session.php), in ogni pagina si inizia così poi ovviamente pagina per pagina ci possono essere dei cambiamenti per permessi riservati, per nel totale inizia sempre così:

<?php
include('db.php');
include('session.php');
if($user!="")
{

**ilNotturn0** · 28-07-2010, 20:01

Non riesco a farmi capire

Vediamo se riesco così: tu quella variabile NON L'HAI DEFINITA, il che vuol dire che stai dicendo: se una cosa che non esiste è uguale a niente allora esegui questo blocco.

Se in tutte le pagine fai questa cosa è sbagliato. Stai confrontando una cosa nulla con una cosa che non esiste, praticamente stai dicendo "Questa mela è diversa da _____" senza dire altro.

Quindi la domanda è: perchè c'è quel blocco di codice? Che dovrebbe fare?
Perchè allora sono io che non l'ho capito :master:

**civre** · 28-07-2010, 20:12

sarebbe da sapere cosa succede negli include,
probabilmente $user viene definito in session.php

Discussione: Suggerimenti per la "sicurezza"

Strumenti discussione

Ricerca discussione

Visualizza

Suggerimenti per la "sicurezza"

Permessi di invio