problema inserimento su mysql

**matt 95** · 15-05-2014, 21:08

allora sto facendo un sito in php e utilizzando mysql e sto cercando di fare un semplice chat utilizzando database però ho dei poblemi
vi posto il codice del controllo paremetri login

Codice PHP:


$user = $_POST['user'];    
$psw = $_POST['psw'];
session_start();      
include 'db.inc.php';          
try            {      
        $sql = "SELECT * FROM accesso WHERE user = '$user' AND psw = '$psw' ";        
        $result = $pdo->query($sql);                
        $_SESSION['id'] = $res['idUtente'];        
}            
catch(PDOException $e)            
{         
       $error = "Errore nell'esecuzione della query ";              
       include 'error.html.php';              
       exit();           
 }                          
 $nr = $result->rowCount();             
       if($nr==1){             
                $risq = "Accesso riuscito.";           
                header('Location:chat.php');            
        }            
 else
       {              
               $risq = "Accesso non riuscito.";       
               header('Location:index.html');                
}

e qui il codice per l'inserimento dei messaggi(il database è formato da accesso con i vari utenti e password e la tabella messaggio dove contiene il msg la data e id_utente il vincolo di integrità referenziale, un utente può inviare molti messaggi, un messaggio è inviato da un solo utente)

Codice PHP:


include 'db.inc.php';        
session_start();               
$id = $_POST['user'];        
$msg = htmlspecialchars($_POST['azione']);                
try        {            
$sql = "SELECT idUtente FROM accesso WHERE user ='$user' ";            
$result = $pdo->query($sql);        
}        catch(PDOException $e)        {            
exit();        
}               
$row = $result->fetchAll();                          
try        {            
$sql = 'INSERT INTO messaggio(msg,data, id_utente) VALUES(:msg, NOW(), :id)';            
$st = $pdo->prepare($sql);               
$st->bindValue(':msg' , $msg, PDO::PARAM_STR);            
$st->bindValue(':id' , $_SESSION['id'], PDO::PARAM_INT);            
$st->execute();        
}        catch(PDOException $e)        {      
exit();      
}               
header("Location: visualizza.php");

adesso il mio problema è che l'inserimento non funziona non inserisce nessun messaggio però ho notato qualcosa che se faccio in questo modo riesco a inviare il messaggio con la data ma ovviamente con il campo id_utente impostato a 0

Codice PHP:


$sql = 'INSERT INTO messaggio(msg,data) VALUES(:msg, NOW())';            
$st = $pdo->prepare($sql);               
$st->bindValue(':msg' , $msg, PDO::PARAM_STR);                
$st->execute();

sapete aiutarmi e dirmi dove ho commesso errori. saluti

**oly1982** · 15-05-2014, 22:05

Il codice è gravemente fallato sotto il profilo delle sql injection... e questa è la cosa più grave.

Nel prima parte del codice usi $res ma la variabile non esiste.
La creazione della variabile di sessione è collocata in un punto errato nella logica dello script.

Nella seconda parte del codice fai una select per prendere l'id dell'utente ma questo (in teoria) dovrebbe essere prelevato dalla sessione.

Poi vi è un login globalmente errato. Da dove iniziamo?

**matt 95** · 15-05-2014, 22:31

si result non res
ma passiamo a sql inejection va beh sul controllo login l'ho dimenticato di mettere ma l'ho già sistemato solo che ho copiato dalla mia prova locale.
cosa dovrei correggere adesso? login globalmente errato che vuol dire?

**oly1982** · 15-05-2014, 23:16

Originariamente inviata da matt 95

si result non res
ma passiamo a sql inejection va beh sul controllo login l'ho dimenticato di mettere ma l'ho già sistemato solo che ho copiato dalla mia prova locale.
cosa dovrei correggere adesso? login globalmente errato che vuol dire?

Posta il codice corretto e discutiamo su quello.

**matt 95** · 16-05-2014, 11:12

ecco qui

Codice PHP:


<?php
session_start();$user = $_POST['user'];$psw = $_POST['psw'];                    
include 'db.inc.php';                 
try{
$sql = "SELECT * FROM accesso WHERE user = :user AND psw = :psw ";$st = $pdo->prepare($sql);$st->bindValue(':user' , $user, PDO::PARAM_STR);$st->bindValue(':psw' , $psw, PDO::PARAM_STR);$st->execute();
 $res = $st->fetch(PDO::FETCH_ASSOC);$_SESSION['id'] = $res['idUtente'];         if($res==1){ $risq = "Accesso riuscito."; header('Location:chat.php'); } else{$risq = "Accesso non riuscito.";header('Location:index.html'); }}catch(PDOException $e) {$error = "Errore nell'esecuzione della query ";
 include 'error.html.php';exit(); }      ?>

però ora se inserisco i dati corretti mi ricarica la home come se i dati fossero errati

**matt 95** · 16-05-2014, 15:59

scrivo il codice in maniera più chiara visto che non posso modificare il messaggio

Codice PHP:


 <?php
              session_start();
              
              $user = $_POST['user'];
              $psw = $_POST['psw'];
            
            
              include 'db.inc.php'; 
                  
              try
              {
                  $sql = "SELECT * FROM accesso WHERE user = :user AND psw = sw ";
                  $st = $pdo->prepare($sql);
                  $st->bindValue(':user' , $user, PDO::PARAM_STR);
                  $st->bindValue('sw' , $psw, PDO::PARAM_STR);
                  $st->execute();
                  $res = $st->fetchAll();
                  $_SESSION['id'] = $res['idUtente'];
                  
                  if($res==1){
                      $risq = "Accesso riuscito.";
                      header('Location:chat.php');
                  } 
                  else{
                      $risq = "Accesso non riuscito.";
                      header('Location:index.html');
                      }
                  
              }
              catch(PDOException $e)
              {
                  $error = "Errore nell'esecuzione della query ";
                  include 'error.html.php';
                  exit();
              }  
 ?>

mi sapete dirmi cosa è sbagliato? comunque poi c'è la parte dell'inserimento messaggio

**oly1982** · 17-05-2014, 09:43

la condizione

Codice PHP:


if($res==1)

è errata (quasi sempre vera).
Devi fare una query con COUNT(*)

La variabile di sessione

Codice PHP:


$_SESSION['id'] = $res['idUtente'];

La devi valorizzare all'interno dell'if.

**matt 95** · 19-05-2014, 16:20

allora ho risolto così

Codice PHP:


 <?php
              session_start();
              
              $user = $_POST['user'];
              $psw = $_POST['psw'];
            
            
              include 'db.inc.php'; 
                  
              try
              {
                  $sql = "SELECT COUNT(*) FROM accesso WHERE user = :user AND psw = sw ";
                  $st = $pdo->prepare($sql);
                  $st->bindValue(':user' , $user, PDO::PARAM_STR);
                  $st->bindValue('sw' , $psw, PDO::PARAM_STR);
                  $st->execute();
                  
              }   
                 catch(PDOException $e)
              {
                  $error = "Errore nell'esecuzione della query ";
                  include 'error.html.php';
                  exit();
              }  
              
              $res = $st->fetch();
              if($res[0] > 0)
              {
                        $_SESSION['id'] =  $res['idUtente'];
                      $risq = "Accesso riuscito.";
                      header('Location:chat.php');
              } 
                  else
              {
                      $risq = "Accesso non riuscito.";
                      header('Location:index.html');
              }
                  
             
        ?>

adesso devo capire perchè non riesco a inserire un messaggio se metto l'id_utente
per l'inserimento del messaggio questa è la pagina

Codice PHP:


<?php
session_start();
include 'db.inc.php';       
$msg = htmlspecialchars($_POST['azione']);
try         {            
$sql = 'INSERT INTO messaggio(msg, data, id_utente) VALUES(:msg, NOW(), :id)';                        
$st = $pdo->prepare($sql);               
$st->bindValue(':msg' , $msg, PDO::PARAM_STR);               
$st->bindValue(':id' , $_SESSION['id'], PDO::PARAM_INT);                
$st->execute();        
}        catch(PDOException $e)        {            
exit();        
}

        header("Location: visualizza.php");
?>

invece se non mettessi l'id utente e lasciassi così il codice il messaggio verrebbe inviato senza id ovviamente

Codice PHP:


try         {            
$sql = 'INSERT INTO messaggio(msg, data) VALUES(:msg, NOW())';                        
$st = $pdo->prepare($sql);               
$st->bindValue(':msg' , $msg, PDO::PARAM_STR);                            
$st->execute();        
}

**matt 95** · 19-05-2014, 18:06

edit avevo dimenticato nella query idUtente fuck!

Discussione: problema inserimento su mysql

Strumenti discussione

Ricerca discussione

Visualizza

problema inserimento su mysql

Permessi di invio