אהלן ובוקר טוב,

ניסיתי לחשוב על דרך להכניס מידע למסד נתונים [לשדה] דרך תיבת טקסט.
את זה אני יודע לעשות, אבל מה שאני מעוניין לדעת זה איך אני מושך את זה בדף.

לדוגמא- יש לי פאנל ניהול ובו יש הודעת מערכת, אני רוצה לכתוב הודעת מערכת, שתישמר במסד נתונים, ובדף index למשוך את ההודעה מהמסד ולשים אותה בדף, איך אפשר לעשות דבר כזה? גם בצורת כתיבה נכונה וגם בצורה מאובטחת?

תודה רבה.

אמממ... קראת קצת לפני ששאלת?

בהנחה שהבנתי למה התכוונת:

קוד PHP:

 $query = "SELECT system_message FROM table";
$result = mysql_query($query) or die("Query Failed");
$row = mysql_fetch_array($result, MYSQL_ASSOC);
echo $row['system_message']; 


כן האמת שניסיתי לחפש מידע וגם מצאתי, אבל לא חשבתי שהדרך שאתה הבאת כאן היא מאובטחת, אתה בטוח שזו הדרך המאובטחת ביותר לעשות את הפעולה?

למה הכוונה "דרך מאובטחת"?

אתה שולף מידע ממסד הנתונים ושולח אותו למשתמש.

אתה מתכוון אולי דרך יעילה? אם כך זה כבר קשור לשאילתא שלך ולממשק שמתחבר למסד הנתונים. מאוד מומלץ לעבור ל-mysqli (שים לב זה לא mysql), גם בגלל סיבות אחרות. חפש ב- http://www.php.net

אין לך לחשוש משליחת מידע למשתמש, אלא אם כן מדובר במידע רגיש שאז המשתמש יכול לראות אותו.

אבל אתה כן צריך לחשוש מהמידע שמגיע מהמשתמש - שמאוחסן (בין היתר) במשתנים הסופר-גלובאלים של PHP, כמו $_POST, $_GET, $_COOKIE ועוד.
בפורום בניית אתרים כנס לעוגן שפתחתי ותיכנס לקישורים לאתרים שיש שם בנוגע ל-PHP. יש גם בלוגים שעוסקים ב-PHP שם מייעצים לך כיצד לכתוב קוד מאובטח.

השאלה צריכה להיות "האם המידע שהוכנס למסד הנתונים מאובטח"
אם התשובה היא כן, לא צריכה להיות בעיה.
אם לא, עדיף לאבטח את הכנסת הנתונים ולא הוצאתם.

ציטוט:

במקור נכתב על ידי Zed3 אם לא, עדיף לאבטח את הכנסת הנתונים ולא הוצאתם.

עכשיו נזכרתי בנוגע לזה:

אם המידע שמוציאים מכיל קוד HTML שהמתכנת אינו רוצה שהדפדפן יפענח אותו, אז צריך להריץ על המידע htmlspecialchars כדי להמיר תוי HTML מסוימים ל- html entities, כך שאין סיכוי שהמידע יפוענח כקוד HTML.

אבל מלכתחילה המתכנת לא אמור להריץ את הפונקציה הזאת בהוצאת הנתונים, אלא יש להריץ כשמכניסים את הנתונים למסד, כדי שלא יהיה צורך להריץ את הפונקציה הזאת כל פעם מחדש כאשר צריך לפלוט את המידע לצד לקוח.

אוקיי.. אז בדף שאני רוצה שההודעה הראשית תוצג אני מכניס את הקוד שinspired-session כתב כאן, והוא פשוט ידפיס לי את השדה שיש לי במסד נתונים, בהנחה שהשדה והשורה באמת נמצאים שם?

כן זה מה שאמור לקרות. למה לא ניסית וראית?

אני יודע שזה אמור לעשות, פשוט העיניין הוא שלא חשבתי שזאת הדרך שעושים את הפעולה הזאת.

עשיתי את זה בצורה כזאת: שמתי את הקוד שinspired-session כתב למעלה בדף, ועשיתי טופס ששולח את מה שכתבתי בשדה לדף function_update.php, ובתוך הדף הזה נמצא הקוד:

קוד PHP:

 if (!empty($_POST['announcement'])) {
    $update = "UPDATE misc SET announcment = '$_POST[announcement]'";
    $result = mysql_query($update);
    echo ("the database has been updated");
} elseif (empty($_POST['announcement'])) {
    echo ("you leaved an empty field");
} else {
    echo ("there was a problem attemping to update the database");
} 


הכל עובד מצויין, אבל-
האם הקוד בסדר מבחינת אבטחה? בעיקרון הטופס הזה נמצא בתוך דף של "פאנל ניהול" למנהל, ככה שאין למשתמשים גישה אליו.
האם צורת הכתיבה נכונה וטובה?

ממבט ראשון זה לא נראה כתיבה טובה בכלל (אבל זה בסדר כי אתה רק מתחיל).

הנה קוד אחר, שכולל מניעת SQL injections ופשטות הקוד:

קוד PHP:

 if ($_POST['announcement'] != '') 
{

    $update = 'UPDATE `misc` SET `announcment` = '. filter_SQL(filter_HTML($_POST['announcement']));
    if (mysql_query($update))
        echo 'the database has been updated.';
    else
        echo 'Could not update, an error occurred (error number #',mysql_errno(),'): ', mysql_error();
}
else
    echo "you leaved an empty field"; 


כמה נקודות לתיקון:

• אין צורך להשתמש בסוגריים כשכותבים echo.
• במקרה הנ"ל הנחתי ש-$_POST['announcement'] ייחשב שדה שלא מילאו אותו בתנאי שהוא שווה למחרוזת ריקה. לא היית צריך לכתוב בתנאי ה-if ובתנאי ה-elseif פעמיים את הפונקציה empty כי זה מיותר.
• מיקום מחרוזת השגיאה של עידכון מסד הנתונים היה לא נכון, בקוד שכתבת PHP מעולם לא היה מריץ את זה ופולט ללקוח.
• תתחיל כבר עכשיו לכתוב עם הזחות את הקוד שלך, אחרת יהיה לא נוח וקשה לשמור אותו מסודר.

בנוגע לפונקציות filter_SQL ו- filter_HTML, זה בהנחה שלא סיננת את המידע לפני כן, ובהנחה שאתה לא רוצה שהמשתמש יוכל לכתוב קוד HTML שהדפדפן יפענח.
אם תרצה שהמשתמש יוכל לכתוב קוד HTML, פשוט תוריד את הפונקציה filter_HTML.

הפונקציות האלו צריכות להכיל את הקוד הבא:

קוד PHP:

 function filter_HTML($str)
{
    return htmlspecialchars($str);
}

function filter_SQL($str)
{
    return mysql_real_escape_string($str);
} 


אם היית מתחבר למסד נתונים דרך ממשק אחר, כמו mysqli, היית צריך להבריח את התוים עם פונקציה\מתודה אחרת.

תקרא על אשכול הקידוד שפתחתי בבניית אתרים, כדי למנוע בעיות קידוד בהמשך...

אוקיי, תודה רבה לך דור, אני אמשיך בקריאה של הדברים שאמרת לי ומחוץ לזה, בכל מקרה- אני שומר את הכל לקודים הבאים שאני אצטרך לכתוב, רק ככה אני אצליח ללמוד.

דבר נוסף, את הפונקציות שכתבת, אני צריך לכתוב באותו הקובץ שנמצא הקוד שמעדכן את המסד?

כן.

אפשרי גם אחרת אבל בנתיים אתה לא צריך את זה.

לא חובה - קרא על מילות המפתח require ו-include.

עריכה:

תיקון לקוד שכתבתי בהודעה הקודמת:

במקום השורה:

קוד PHP:

 $update = 'UPDATE `misc` SET `announcment` = '. filter_SQL(filter_HTML($_POST['announcement'])); 


יש לכתוב:

קוד PHP:

 $update = 'UPDATE `misc` SET `announcment` = "'. filter_SQL(filter_HTML($_POST['announcement']). '"' ); 


כי הרי אתה מעדכן מחרוזת, וחובה לתחום אותה בגרשיים. הפונקציה filter_SQL שיצרת אמורה להבריח גם תוי גרשיים, ובכך למנוע בעיות בשאילתא של תחביר לא נכון.

וממליץ לך להסתכל בארכיונים של פורומי בניית אתרים ו-PHP. (נמצא למעלה, מתחת לבר ניווט של הפורומים)

אוקיי תודה רבה!
אני מכיר את הפקודות include ו require. תודה בכל זאת.

ניסיתי להשתמש בפילטרים שהבאת, כל הדפים עולים והכל נראה בסדר, אבל שאני עושה submit לטופס שמעדכן את המסד נתונים, נראה שהוא לא עושה שום דבר.

תוכל לשלב לי את הקוד של הפילטרים עם הקוד הזה? -

קוד PHP:

 $update = "UPDATE misc SET announcment = '$_POST[announcment]'"; 


קוד PHP:

 $update = "UPDATE misc SET announcment = '".filter_SQL(filter_HTML($_POST['announcment']))."'"; 


מצויין! תודה רבה- עובד!