Autor Zpráva
tachov
Profil
Zdarvím potřeboval bych moct s Radio-button..

  <input type="radio" name="cena" value= "1" > <b>poštou</b> ( 60kč - dodání 3-5 dní. )<p>
  <input type="radio" name="cena" value= "2" ><b>kurýrem</b> ( 90kč - dodání 1-2 dní. )<p>
  <input type="radio" name="cena" value= "3" ><b>osobně</b> ( 0kč )<p> 

potřeboval bych měnit hodnotu proměnné aby :

$cena = 50;
$cena = 60;
$cena = 0;

jak na to? jsem s radiem úplný amatér.
juriad_
Profil *
tachov:
Tak zmen value 1, 2, 3 na 50, 60 a 0.
tachov
Profil
juriad:
to sem taky zkoušel ale nefunguje to...
potřebuju to vsadit sem

if(isset($_SESSION["products"]))
{
    $total = 0;
    echo '<ol>';
    foreach ($_SESSION["products"] as $cart_itm)
    {
        echo '<li class="cart-itm">';
        echo '<h3>'.$cart_itm["name"].'</h3>';
        echo '<div class="p-code">Kód produktu : '.$cart_itm["code"].'</div>';
        echo '<div class="p-qty">ks : '.$cart_itm["qty"].'</div>';
        echo '<div class="p-price">Cena/ks :'.$cart_itm["price"].'Kč</div>';
        
        echo '</li>';
        $subtotal = ($cart_itm["price"]*$cart_itm["qty"]);
        $total = ($total + $subtotal);
    }
  
       
     $totals = ($total + $cena);
        echo '<span class="empty-cart"><p></span>';
        echo '<div class="p-prices">Doručení :'.$cena.'Kč</div>';
    echo '<span class="check-out-txt"><strong>Celkem :'.$totals.'  Kč</strong><p></span>';
 
}else{
    echo 'Košik je prázdný';
}
tachov
Profil
to opravu žádná pomoc?
Taps
Profil
tachov:
jak vypadá kompletně tvůj skript?
juriad
Profil
tachov:
Zřejmě se snažíš vytvořit e-shop, ale neznáš PHP na takové úrovni, abys toho byl schopný. Podle [#3] neumíš pořádně ani HTML. Nechci ani domýšlet, jakých chyb ses dopustil. Bude-li někde nasazen, buď si vědom, že za chyby se platí.

Ideálně si v SESSION vytvoříš další chlívek cena_dopravy, který bude nabývat hodnot 1, 2, 3. Toto bude zároveň indexem do pole cen dopravy:
$cena = $ceny_dopravy[$_SESSION['cena_dopravy']];
Samozřejmě, že to také může být nevyplněné (uživatel ještě nic nevybral), takže to ještě musíš opodmínkovat.
Do $_SESSION si cenu zapíšeš stejným způsobem, jakým tak ukládáš produkty.

To, co jsem napsal v [#2] se týká pouze jednodušších případů, kdy se objednávka nikam nemusí ukládat; můžeš to ignorovat.
tachov
Profil
juriad:
už jsem to pořešil musel jsem to udělat přes formulář jinak bych musel sáhnout do JAVA ..v čemž neumim ani řádek. .. ale dík


učím se programovat stránky teprve měsíc a pul. Na ta krátkou dobu si myslím že umím dost a s každou pomocí se učím víc .
Keeehi
Profil
tachov:
To že se učíš je správné. Jestli je však tvoje práce někde dostupná z internetu tak můžeš mít problémy. Nějaká bezpečnostní chyba která se dá u začátečníka velmi pravděpodobně očekávat může způsobit i finanční škodu. Zejména u eShop u kde se pracuje s citlivými údaji to klidně může být v řádech milionů.
tachov
Profil
Keeehi:
samozřejmě to na internet mám ale stránka není ani nijak dohledatelná pokud nezná nikdo přímo její adresu ...je to pouze testovací stránka pro mě a zabezpečení je opravdu minimální ostatně můžete zkusit sami...http://webdesigner.funsite.cz pro zobrazení eshopu se stačí registrovat
tachov
Profil
nj to se zase někdo předvedl .... někdo kdo umí pokazit snahu =)
šikovný ... přes chat :D ... ani na banování ip adresy se nedostanu :D
Keeehi
Profil
tachov:
Nic jsem nekazil. Veškeré testy byly nedestruktivní. I když nepochybuji o tom, že tam je způsob jak provést destruktivní útok.

přes chat
Problém není jen v chatu ale třeba i v profilu. Web trpí na permanentní XSS. Navíc na velmi frekventovaných místech. V souvislosti se špatným zabezpečením session cookie je možné je krást. jelikož je chat přítomný na stránce pro přihlišení tak je možné krást hesla. Je tam i SQL Injection zranitelnost takže je velmi pravděpodobně možné získat kompletní obsah databáze. Útoky jsem nezkoušel, jen jsem otestoval pár vstupních bodů, zda by jimi šel útok vést. Zabezpečení vůbec nikde. Takže jsou možné i ty nejzákladnější útoky v jejich nejnaivnější podoně.

ani na banování ip adresy se nedostanu
Jakékoli zakazování je naprosto zbytečné. A to ze 2 důvodů.
1. Blokování přístupu po útoku je k ničemu, jelikož škoda už byla udělána.
2. Změnit si IP adresu (stejně jako cokoli jiného) je pro útočníka velmi lehké. Jelikož web běží i na IPv6 tak zásoba IP adres je prakticky neomezená.
tachov
Profil
to je dobrý vědět jinak co se týče SQL Injection tak je tam my_real_escape string ...a v dnešní době se dá dostat do všeho.. s tim chatem jsem to netušil ... musim naštudovaat nějaký materiály o zabezpečení
Keeehi
Profil
tachov:
se týče SQL Injection tak je tam my_real_escape string
Tak buď není všude nebo je použitý špatně. Když jsem do chatu zadal a' -- a, tak se mi vložila prázdná zpráva což značí, že tam nějaký problém bude.

v dnešní době se dá dostat do všeho.
Ano, prakticky neexistuje bezpečná aplikace. Bezpečnost není stav ale spíše míra. Je skoro nemožné pokrýt všechny typy útoků ale je dobré začít od těch základních a nejjednodušších a postupně obranu zlepšovat.

musim naštudovaat nějaký materiály o zabezpečení
Velmi rozumný nápad.
tachov
Profil
určitě se podívám kde to chybí ...ty děláš nějaký stránky jako formou výdělku?
Keeehi
Profil
Zatím se tím neživým, jsem student. Mám však dlouholetou praxi a bezpečnost mě vždy zajímala.
tachov
Profil
Keeehi:
koukám na ty možnosti zabezpečení a už jsem z toho magor protože každej to řeší jinak pomohl by jsi mi nějak s tim zabezpečenim?
Michales
Profil
Do chatu je mozne posilat scripty. Zasadni chyba.
PS: endora te brzy kvuli tomu chatu blokne. Vyslovne zakazuji mit chat na strance. Precti si podminky.
tachov
Profil
Michales:
ne pokud nezahltim SQL databázi je to nastavený aby se ukládalo jen posledních 50 příspěvků
..a to že to jde vim ...protože potřebuju úpomoct se zabezpečenim
Michales
Profil
tachov:
Nejde o to jestli zahltis nebo ne. Precti si podminky.
Co se tyka zabezpeceni, projdi kazdy vstup do databaze a osetri ho.(zabezpec) Tzn. jdi soubor po souboru a kazdy vstup do sql a vystup zabezpeci.
mysql_real_escape_string
A ne my_real_escape string jak pises vyse
Alphard
Profil
Základem je hlídat si uživatelské vstupy. V první řadě důsledně escapovat pro správný kontext a v druhé řadě je třeba mít ošetřený i případný upload souborů apod. Nesmí existovat žádná možnost vykonání podstrčených scriptů. A dále si pohlídejte, abyste nevyzradil citlivé informace, třeba v chybových hláškách zobrazených uživateli.
tachov
Profil
Alphard:
já je četl ... je to tam to vim ...stejně jako skrytí jejich reklamy :D ...jak řikám to web jen pro mě abych se něco naučil... až budu zvládat zabezpečení a plně funkční web tak si zaplatim hostin na WEDOS
Michales
Profil
tachov:
Než se začneš učit programovat, měl by si si projít základy českého jazyka.
Jinak základní zabezpečení jsem ti napsal v [#19]
tachov
Profil
Michales:
však právě protože mám s českym problém, tak se učim programovací :D


tachov:
a je nějaký návod jak zjistit zda mam SQL databázi chráněnou? nebo nějakej test?
Keeehi
Profil
Michales:
Pojmem chat server si vykládám úplně jinak než ten scriptík co tachov stvořil.

Jinak základní zabezpečení jsem ti napsal v [#19]
To je pouze pro zápis do databáze a to ještě ne vždy! Na správný postup dal odkaz Alphard v [#20].

a je nějaký návod jak zjistit zda mam SQL databázi chráněnou? nebo nějakej test?
Ochrana je důsledné escapování. Testem je vlastní pokus o útok. Což je bez znalostí technik útoků prakticky nemožné. Takže pro tebe je to o escapování a pak budeš doufat, že jsi na nic nezapomněl.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: