Sudeshna2 Ответов: 1

Данные формы регистрации не добавляются в базу данных

Я создал форму регистрации в html, css и javascript для веб-сайта и php-файл для него. Я сохранил эти файлы в папке xampp/htdocs/manuscripts_ih. Я создал базу данных manuscripts_ih в phpMyAdmin с помощью xampp. Когда я открыл форму регистрации и заполнил поля она открывает php файл т. е. следующие коды:

Что я уже пробовал:

<?php
// Fetching Values From URL
$email2 = $_POST['email1'];
$password2 = $_POST['password1'];
$repeatpassword2 = $_POST['repeatpassword1'];
$connection = mysql_connect("localhost", "root", ""); // Establishing Connection with Server..
$db = mysql_select_db("manuscripts_ih", $connection); // Selecting Database
if (isset($_POST['email1'])) {
$query = mysql_query("insert into signup(email, password, repeatpassword) values ('$email', '$password2','$repeatpassword2')"); //Insert Query
echo "Form Submitted succesfully";
}
mysql_close($connection); // Connection Closed
?>


Но данные не добавляются в базу данных. ПЛ. скажи мне, что будет проблема при вставке данных в базу данных.

Richard MacCutchan

форма "Эхо "подана успешно";"
Если бы у меня был $1 за каждый пример кода, где люди публикуют сообщения об успехе, даже не проверяя, действительно ли предыдущая команда удалась ... Стоит ли удивляться, что хакерам так легко живется?

1 Ответов

Рейтинг:
1

OriginalGriff

Если бы существовало руководство "как не делать вход в систему программного обеспечения", этот код мог бы быть экспонатом А.

У вас здесь серьезные проблемы:
1) Никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

2) SQL-инъекция на странице входа в систему? Таким образом, я могу полностью обойти ваш логин, сделать все, что угодно, черт возьми, я хочу в вашей БД, включая изменение вашего - администратора логин - пароль на все, что я хочу? Это переводит рискованность на другой уровень.

3) Зачем хранить один и тот же пароль дважды? Вся идея окна "повторить пароль" заключается не в том, чтобы сохранить его снова, а в том, чтобы проверить, что пользователь дважды ввел один и тот же точный пароль при создании учетной записи. Вы не храните второй, вы проверяете первый с его помощью.

4) Никогда не храните пароли в открытом тексте - это серьезная угроза безопасности. Здесь есть некоторая информация о том, как это сделать: Хранение паролей: как это сделать.[^]

И помните: если это веб-сайт и у вас есть какие-либо пользователи из Европейского союза, то применяется GDPR, а это означает, что вы должны обрабатывать пароли как конфиденциальные данные и хранить их безопасным и безопасным способом. Текст-это ни то, ни другое, и штрафы могут быть ... ГМ ... выдающийся. В декабре 2018 года немецкая компания получила относительно низкий штраф в размере 20 000 евро именно за это.


Серьезно, вам нужно пройти через все ваше приложение с тонкой зубчатой расческой, потому что в данный момент оно настолько полно проблем безопасности (и других), что вы смотрите на серьезные штрафы за халатность, если что-то пойдет не так. И это будет, это будет.

Richard Deeming

Эй, это не похоже на то, что PHP имеет встроенные методы, которые помогут вам делать правильные вещи при хранении паролей, не так ли? :)

PHP: password_hash[^]
РНР: функцию password_verify[^]

OriginalGriff

Я почти уверен, что Google еще не знает о них ... ;)