PHP, MySQL e dubbio

Pagine → 1 2

12/09/2008 14:57:29

un paio di consigli tecnico pratici...

quando testi un codice nuovo usa 'error_reporting(E_ALL);', così php da bravo bimbo ti dice tutto, ma proprio tutto quello che non va.

quando una variabile che deve entrare da una query proviene da una fonte non sicura (qualcosa in cui l'utente potrebbe metter mano come per l'appunto una variabile proveniente da $_GET) è bene usare sempre mysql_real_escape_string, onde evitare qualsiasi tentativo di sql injection. Più o meno sarebbe qualcosa del genere

$sql = " SELECT * FROM chat WHERE loc=".mysql_real_escape_string($_GET['loc'], $mycon);

ho usato direttamente il $_GET['loc'] perchè php assegna per valore, quindi se metti il $_GET['loc'] in un'altra variabile occupi due volte la memoria necessaria... se ti piace proprio cambiare il nome per averne uno più corto, assegna per referenze, così

$loc &= $_GET['loc']

Se sai un pò di C, è la stessa differenza che c'è fra copiare un valore e passare un puntatore, però attento che se cambi il valore di $loc, cambierà anche quello di $_GET['loc'] (esattamente come operare su un puntatore).

infine, ti consiglio di passare a mysqli, per gestire il database, sia per motivi di efficienza che per motivi di supporto (prima o poi il modulo mysql ci lascierà, quindi meglio scrivere il codice nuovo direttamente con mysqli). Se l'oop non ti piace, si può usare anche in stile procedurale ;)

World of Warship ↗
MMO gratuito con frenetiche battaglie navali ambientate nel ventesimo secolo. Salpa con la tua nave ed affronta i nemici!

quota

stoneragon

SCRIVI

12/09/2008 15:52:39

Ti ringrazio dei consigli che mi sn subito salvato in un file .txt ^^

Per ora comunque non mi curo molto della sicurezza del sito in sè perchè è per l'appunto più un pretesto per imparare ^^
Se aprirò, li metterò in pratica questo è certo! ^^

E per mysqli invece di mysql... sinceramente non so bene la differenza XD per ora uso mysql perchè è quello per cui ho trovato le guide tutto qui ^^

Ehm... volevo chiedere un ultima cosa però...
Io ora ho sistemato il problema del file che mostra le chat, però ora il problema successivo è che non mi inserisce le cose nel database...

Ho controllato che la variabile di connessione sia giusta e in effetti lo è... però non saprei...

Vi posto magari il codice così ci potete dare un'occhiata se vi va...
Spero solo non pensiate che me ne stia approfittando troppo è che sinceramente non capisco dove possa essere il problema....

Codice:

<?
$loc= $_GET['loc'];

header("Location:chat_input.php?loc=<? print $loc ?>",true);
?>
<?
include ("connessione.php");
session_start();
$luogo = $_REQUEST['luogo'];
$azione = $_REQUEST['azione'];
$ora = date("H:i");
$nome = $_SESSION["nome"];

$sql = "INSERT INTO chat(nome, ora, luogo, azione, loc) values ('$nome', '$ora', '$luogo', '$azione, '$loc')";
$query = mysql_query ($sql,$myconn) OR die(mysql_error());
?>

P.s. Non ho ben capito dove dovrei inserire quello che mi mostra tutto ciò che fa il file php ç_ç
P.p.s. la questione del $loc rimando anche quella a quando il GDR sarà qualcosa di più serio XD grazie cmq dei consigli!! ^^

NosTale ↗
Con l’aiuto della spada e della bacchetta magica risolverai abilmente intricate missioni e domerai coraggiosamente mostri selvaggi!

quota

xenom

SCRIVI

12/09/2008 16:58:20

stoneragon ha scritto: Ti ringrazio dei consigli che mi sn subito salvato in un file .txt ^^

Per ora comunque non mi curo molto della sicurezza del sito in sè perchè è per l'appunto più un pretesto per imparare ^^
Se aprirò, li metterò in pratica questo è certo! ^^

E per mysqli invece di mysql... sinceramente non so bene la differenza XD per ora uso mysql perchè è quello per cui ho trovato le guide tutto qui ^^

Ehm... volevo chiedere un ultima cosa però...
Io ora ho sistemato il problema del file che mostra le chat, però ora il problema successivo è che non mi inserisce le cose nel database...

Ho controllato che la variabile di connessione sia giusta e in effetti lo è... però non saprei...

Vi posto magari il codice così ci potete dare un'occhiata se vi va...
Spero solo non pensiate che me ne stia approfittando troppo è che sinceramente non capisco dove possa essere il problema....

Codice:

E' colpa di quell'header che hai messo in cima che sballa un po tutto: innanzitutto mettilo in fondo inoltre non c'è bisogno ne di riaprire il php per stampare $loc nell'header ne di fare print. Prova così:

<?
session_start();
$loc= $_GET['loc'];
include ("connessione.php");
$luogo = $_REQUEST['luogo'];
$azione = $_REQUEST['azione'];
$ora = date("H:i");
$nome = $_SESSION["nome"];

$sql = "INSERT INTO chat(nome, ora, luogo, azione, loc) VALUES ('$nome', '$ora', '$luogo', '$azione, '$loc')";
$query = mysql_query ($sql,$mycon) OR die(mysql_error());
header("Location:chat_input.php?loc=".$loc,true);
?>

P.S. il session_start() deve andare prima di tutto

P.P.S. non avevi detto che la variabile di connessione era $mycon? Io l'ho cambiata nella query nel caso sia sbagliata aggiusta tu ;-)

Metin2 ↗
Sfida i tuoi rivali a battersi con te e dimostra la tua superiorità in questo mondo fantasy!

quota

stoneragon

SCRIVI

12/09/2008 17:16:37 e modificato da stoneragon il 12/09/2008 18:09:02

ah! capito! ^^

Grazie mille!
Terrò conto di tutti i consigli ^^
Siete molto gentili! ^^

Comunque, visto che avevo messo d'appertutto $myconn ho preferito cambiare solo quella del file di connessione ^^ così combaciava tutto ^^

Edit per:

Mi sa che c'è qualcos'altro che non va... non capisco ma ancora non inserisce nel database... hmm... ora ci do un'altra occhiata ^^

Edit2 per:

XD no ok ho sistemato ^^ grazie ancora ^^