Autor Zpráva
VIPatrikPK
Profil
Ahoj mám otázku toto bezpečné ?

index.php

<html>
<head>
<title>JailCraft.sk - iConomy štatistiky</title>
<meta http-equiv="content-type" content="text/html; charset=windows-1250">
<meta name="description" content="JailCraft - iConomy štatistiky"/>
<meta name="keywords" content="'jailcraft''iconomy''stats'"/>
<link rel="stylesheet" href="css.css" media="screen" />
<link rel="icon" href="favicon.ico" type="image/ico" />
</head>
<body>
<div class=warper>
<table>
<tr><th>&nbsp;Poradie&nbsp;</th><th>&nbsp;Meno hráča&nbsp;</th><th>&nbsp;Stav účtu&nbsp;</th></tr>
<?php
include("config.php");
$i=1;
$dotaz="SELECT username,balance FROM iConomy ORDER BY balance DESC";
$vysledek = MySQL_Query($dotaz);
while ($zaznam = MySQL_Fetch_Array($vysledek)){
$meno=$zaznam["username"];
$peniaze=$zaznam["balance"];
if ($c == 0){ print '<tr class="tmava"><td class="poradi">'.$i.'</td><td>'.$meno.'</td><td class="castka">'.$peniaze.'<img src="images/mena.png"></td></tr>'; $c++; }
else { print '<tr class="svetla"><td class="poradi">'.$i.'</td><td>'.$meno.'</td><td class="castka">'.$peniaze.'<img src="images/mena.png"></td></tr>'; $c--; }
$i++; }
MySQL_Close($con);
?>
</table>
</div>
<body>
</html>

a config.php

<?php
$config = array( "hostitel"  => "176.31.253.51" , "databaze" => "mc157" , "uzivatel"  => "mc157" , "heslo"  => "" , );
$con = mysql_connect($config["hostitel"], $config["uzivatel"], $config["heslo"]);
mysql_select_db($config["databaze"], $con);
if (!$con)
return error("Nepodarilo se pripojit k databazi");
?>

je tento prístup do databázie bezpečný ?
Alphard
Profil
Zdá se být bezproblémový. SQL injection hrozí při práci s neošetřenými vstupy. Vy máte sql dotaz statický, takže ho není jak napadnout.
VIPatrikPK
Profil
Takže je to 100% bezpečné ?
Majkl578
Profil
Obecně je, jen proměnná $c není nikde inicializovaná. To povede k opakovanému E_NOTICE a při povoleném register_globals (což je sice málo pravděpodobné) k potencionálnímu podvržení výchozí hodnoty.
Alphard
Profil
Z pohledu dotazu na 18. řádku ano. Jestli nemáte někde v aplikaci díru, která umožní vypsat přihlašovací údaje nebo nějco jiného je druhá věc.
panther
Profil
VIPatrikPK:
tento uvedený kód (SQL dotaz, o kterém předpokládám, že se bavíme) bezpečný je - nepracuješ s daty od uživatele, ale jen s těmi, které staticky dosadíš do dotazu. Na tom není co ošetřovat.
VIPatrikPK
Profil
ok ďakujem všetkým


To prečo mi to píše ?

iConomy štatistiky
martinR
Profil *
VIPatrikPK:
Hláška je jasná .. špatně nakonfigurovaný přístup do databáze
Warning: mysql_connect(): Can't connect to MySQL server on '176.31.253.51' (111)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: