ARCHIV

Vetsinou pouzivam takto :

function iduzivatele ($prezdivka, $heslo)
{
global $link;
...

protoze pokud mam vicero volani teto fce, tak nemusim volat pokazde identifikator spojeni s db

Tak tak. V dalším díle, který je už napsaný, mám z výukových důvodů podobně neoptimalizované funkce
email_z_id a heslo_z_id (a myslím, že ještě jednu). Plánuju v jednom díle ke konci to všechno zoptimalizovat. Obětoval jsem korektnost ve prospěch názornosti.

Vlastně nejlepší by bylo mít ten link jako úplně globální a tvořit ho jednou za životní cyklus. Dokonce teoreticky není vůbec potřeba, protože když se nespecifikuje, měl by se script pokusit použít existující připojení.

Bohužel jak víme, PHP automaticky nezpřístupňuje globální proměnné v těle funkcí, takže se musí použít ono klíčové slovo global.

Proboha osetrete tam vstupy nebo alespon obrovskejma pismenama napiste, ze je to kvuli bezpecnosti pro ostry provoz nepouzitelny.

KAZDY kdo zacina ted pujde a zkopiruje si to do sveho projektu, myslete na to!

Co máte na mysli?

P. Vraný měl patrně na mysli fenomén jménem SQL injection. Fakt by se ty vstupy měly nějakým alespon základním zpusobem sanitizovat.

Já ten fenomén "SQL injection" znám, ale nemyslím si, že by dalo nabourat do databáze pomocí zde zveřejněných skriptů. V PHP došlo od doby, kdy to byl diskutovaný problém, již k mnoha bezpečnostním opatřením.

Tak například jako výchozí chování je od jisté doby v PHP zapnuta direktiva magic_quotes_gpc, která působí, že všechny proměnné získané pomocí metod get, post nebo cookie obsahující jednoduchou uvozovku, dvojitou uvozovku nebo zpětné lomítko automaticky oescapovány. Tato direktiva je zapnuta i zde na serveru.

Jako další bezpečnostní prvek by se měl vzít v úvahu fakt, že příkaz mysql_query provede vždy jen jeden dotaz, takže triky typu předání středníku a nějakého dalšího textu do dynamicky sestavovaného dotazu už taky nefungují.

Kombinací uvdených pravidel je SQL injection sama o sobě prakticky vyloučena. Pokud jste ovšem nějakou bezpečnostní chybu objevili, sem s ní.

Spolehat se na nejakou vlastnost PHP je cesta do pekel. A o "bezpecnostnich" vlastnostech to plati dvojnasob.

Navic i v pripade, ze by pouzivany engine nebyl tak strasny, jako je, tak by nejaka zakladni specifikace uzivatelskych vstupu a jejich osetreni dle teto specifikace mela patrit k naprosto rutinnim zalezitostem.

Dam stovku za prvni funkcni e-mailem zaslany postup, jak na soucasne verzi spachat SQL injection. Jasne?

Stovka je naprosto smesna motivace. Tezko tim nekoho primejes, aby ti zaslal exploit a odhalil tak zatim nezname zranitelnosti enginu :)

Problem PHP je ten, ze nespolehat na tuhle featuru moc rozumne nelze. (proste to vypnout v php.ini a kaslat na to me neprijde rozumne, protoze je to defaultne zaple)

Mohl bych poprosit autara aby mi mi napsal link kde se da stahnout kompletni adresar vaseho projektu i s databasi nevim jestli jsem ji vytvoril dobre. Dekuji

Zdravím,

kouzlo tohoto projektu je v tom, že to vzniká "za pochodu". Takže na konci každého dílu je odkaz na stažení zipu obsahujícího aktuální verzi "projektu". Příkazy pro databázi budu zveřejňovat tak, jak se budou přidávat tabulky. Momentálně je tam jedna tabulka, její definice byla v minulém díle.

http://www.linuxsoft.cz/article.php?id_article=538

Na konec to asi pochopitelně stáhneme do jednoho souboru (bez dat).

Dobrý den,
Velice mě zaujal váš serial o php, čtu jej se zaujetím a zkouším co jsem se naučil. Ale jaksi jsem se zasekl u registrace ( 71 članek ) Pro hosting používám Webzdarma a nevim jak tam nastavit SQL. Vytvořiljsem tabulku a i přesto mi to piše chyby. Mohl byste mi poradit prosím.
Stači zajit na: http://www.heechee.wz.cz/php/index.php a tam poklikat na odkazy.
Byl bych moc vděčny za vaší odpověď a radu kde dělám chybu. Předem děkuji.

Vsak to obsahuje chybova hlaska:

mysql_connect(): Unknown MySQL Server Host 'SQL_HOST' (1) in /3w/wz.cz/h/heechee/php/registrace.php on line 32

Nastavte spravne parametry pro pripojeni k databazi.

Opet vam to ukazuje ta chybova hlaska.

V tom skriptu nekde (konkretne na radku 9) volate funkci iduzivatele() a asi ji nikde nemate nadefinovanou. Takze je zapotrebi ji nejdrive nadefinovat.

Ako mozem ukladat a kontrolovat viac hodnot session? Dakujem

Problem sa mi uz podarilo vyriesit, mal som to zle ozatvorkovane

Zdravím autora tohto seriálu.
Píšem čiste ako totálny laik a zlený amatér... tento seriál ma tak nadchol, že aj ked prídem z práce a musím sa venovať svojej 2 ročnej dcérke, tak večer, keď už konečne zaspí posadím ženu k TV (dam jej košom) a vrhám sa na váš serál o PHP. Momentálne som skončil 71. kapitolu a vytešujem sa z mojho "provizorného" portálu ako malé dieťa. Už mi funguje registrácia a aj prihlásenie, ešte som si to trosku vylepšil (po prihlásení schovám položku v menu registrácia)... je to super seriál a aj napriek tomu, že vznikol pred viac ako 2 rokmi som rad že som ho našiel... už sa teším na ďalšie a ďalšie časti.
Štve ma len jedna vec... že sm zatiaľ nenabral odvahu a nenainštaloval som si linux. Ale už to vyzerá tak, že sa k tomu predsa len dostanem :) zatial len cez wmvare... Na firemnom notebooku by mi to asi neprešlo, hehehe.
Nuž, ďakujem za dobrý seriál...

PS: mne tieto príklady fungujú na prvý pokus, nemám s tým žiadne problémy.

Mno, konečně to taky někomu funguje ;-)) Většina lidí si to moc dobře nepřečte a pak se diví. Jen tak dál, vydržte a stane se z Vás programátor ;-)))

Tak jsem konečně vyřešil pár problémů s registraci... a dal jsem se na přihlašeni.... nevim proč ale stale mi to píše, že jmeno a/nebo heslo nesouhlasí viz http://pablotest.ic.cz/index.php?clanek=login/prihlaseni (musite se nejdřive registrovat)

Pomocou čoho mam zabespečit aby prihlaseny videl svoju prezyvku na všetkych strankach ktore vyžaduju registraciu.Inač som velmi potešeny stimto serialom,,Prosim pište mi na rudhas@post.sk
alebo reagujte dakujem.

Tak už jsem se taky dokousal k článku 71. Váš tutoriál se mi moc líbí. PHPčko se učím už asi týden a už mám svůj vlastní gbook. Určitě zkusím i nějaký takovýhle portál. Jestli chcete tak se na ten můj první výtvor podívejte sem:
www.pas-prog.ic.cz/php_testy/gbook.php
JE to sice hrozná blbost, ale mám z toho radost, protože to funguje a kupodivu je to i validní :)
Děkuji za skvělý tutoriál o php!
Ahoj, Honza

Ja mam ten isty problem ako Marek Mucha,
tiez mi ukazuje tuto chybu

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /3w/xf.cz/k/knr-presov/3/func.php on line 23

Prosim o pomoc

Dobrý den, nevíte někdo jak je možné,že se mi ve formuláři na přihlášení objevuje jméno a heslo pro přihlášení k databázi?

Vim ze tento serial je uz hosne stary ale podle me je pouzivan nejvice. V tomto prikladu musim priznat ze sem mel opravdu hodne chyb (chyby mi nevadí nejprve se je snazim opravit sam a kdyz se mi nedari kouknu do diskuze). Jelikoz chyby, které sem mel, me dneska hodne nastvali napisu je sem a pro budouci ctenare dam k dispozici, ale nejsem dobry programator v podstate mam znalosti nacerpane z predchozich dílů tak se spise snazim nektere chyby ocurat nez vyresit.

Po nahrani skriptu na localhost se mi v indexu zobrazovala chyba ze $_POST["heslo/prezdivka"] neni definovaná to jsem vyresil(ocural) tak ze kdyz $_POST["heslo/prezdivka"] neni at se doplni prazdnym retezcem, ale to se mi pak pokazde zobrazovalo ze Uživatelské jméno a/nebo heslo nesouhlasí a to sem nasledne vyresil (samozrejme ve skriptu prihlaseni.php) ze kdyz je $_POST["heslo/prezdivka"] prazdny retezec at se neudela nic. Byl bych rad kdyby mi nekdo poradil lepsi reseni protoze tohle se mi zda velice lamacke.

Napsal sem to jenom proto, ze by nekdo mohl mit stejny problem jako ja.