MySQL gastenboek + installer
Door Nils Kuijpers, 19 jaar geleden, 6.857x bekeken
Dit is een gastenboek script dat ik vandaag gemaakt heb, simpel maar effectief. Users kunnen eens per sessie posten en er is spam protectie dmv md5 hashes.
Tevens wordt input altijd gecontroleerd voordat het de database ingaat.
Er zit een installer script bij waardoor je zelf helemaal niets hoeft te doen qua mysql databases
Gesponsorde koppelingen
PHP script bestanden
Er zijn 10 reacties op 'Mysql gastenboek installer'
0 
-0 
-0
Je maakt gebruik van $_SERVER['PHP_SELF'], welke gevoelig is voor XXS. Niet doen dus!
Verder controleer je of het formulier is verstuurd d.m.v isset($_POST["submit"]). Tegenwoordig doen we dit m.b.v. $_SERVER['REQUEST_METHOD']. Ik ben ook niet zo gecharmeerd van je functies. Je gebruikt ze allemaal maar één keer, en ze zijn niet universeel inzetbaar. Een functie is alleen handig als je heel vaak stukken code moet uitvoeren, of als de code er in door veel verschillende applicaties gebruikt kunnen worden. Ik zie ook geen SQL-injection beveiliging en geen algemene XSS beveiliging (kijk naar de functies htmlentities, htmlspecialchars en mysql_real_escape_string).
Ook zitten er een paar rare kronkels in je script, die niet perse fouten veroorzaken, maar niet zo efficient zijn. BV:
Op regel 127 doe je dit:
if(check_hash() == true),
waarna je op regel 154 dit doet:
elseif(check_hash() == false).
Waarom niet gewoon een else. Als je twee keer check_hash() uitvoert kost dat je ook twee keer een query, wat behoorlijk wat tijd kost.
En last but not least: In je database model zie ik voor de tijd een VARCHAR :-O Hier zullen een heel antal mensen hier niet blij mee zijn! Misschien aanpassen naar een echt datumtype?
Uiteindelijk moet ik toch concluderen dat er al heel veel gastenboekenscripts zijn, en dat deze weinig toevoegd, en zelfs grote beveiligingslekken vertoont.
Verder controleer je of het formulier is verstuurd d.m.v isset($_POST["submit"]). Tegenwoordig doen we dit m.b.v. $_SERVER['REQUEST_METHOD']. Ik ben ook niet zo gecharmeerd van je functies. Je gebruikt ze allemaal maar één keer, en ze zijn niet universeel inzetbaar. Een functie is alleen handig als je heel vaak stukken code moet uitvoeren, of als de code er in door veel verschillende applicaties gebruikt kunnen worden. Ik zie ook geen SQL-injection beveiliging en geen algemene XSS beveiliging (kijk naar de functies htmlentities, htmlspecialchars en mysql_real_escape_string).
Ook zitten er een paar rare kronkels in je script, die niet perse fouten veroorzaken, maar niet zo efficient zijn. BV:
Op regel 127 doe je dit:
if(check_hash() == true),
waarna je op regel 154 dit doet:
elseif(check_hash() == false).
Waarom niet gewoon een else. Als je twee keer check_hash() uitvoert kost dat je ook twee keer een query, wat behoorlijk wat tijd kost.
En last but not least: In je database model zie ik voor de tijd een VARCHAR :-O Hier zullen een heel antal mensen hier niet blij mee zijn! Misschien aanpassen naar een echt datumtype?
Uiteindelijk moet ik toch concluderen dat er al heel veel gastenboekenscripts zijn, en dat deze weinig toevoegd, en zelfs grote beveiligingslekken vertoont.
0 -0
-0
Spam beveiliging door middel van md5 hashes? Waarom zou je een md5 string maken van je bericht? Je kunt toch gewoon een UNIQUE op het veld "bericht" zetten?
0 -0
-0
Lasse:
Dat van die functies daar zit wat in, alle tekens die niet a-z of 0-9 zijn worden weg gehaald dus sql injection wordt lastig lijkt me zo.
PHP Newbie:
Ja, maar dan komen ze evengoed in de database terecht.
Dat van die functies daar zit wat in, alle tekens die niet a-z of 0-9 zijn worden weg gehaald dus sql injection wordt lastig lijkt me zo.
PHP Newbie:
Ja, maar dan komen ze evengoed in de database terecht.
0 -0
-0
Quote:
Nu je het zegt, is dat inderdaad zo. Maar vind je het niet een beetje drastisch om alleen letters en cijfers toe te staan? Er bestaat ook nog zoiets als een punt, een vraagteken, uitroepteken oftewel leestekens, en accenten en dergelijke.Dat van die functies daar zit wat in, alle tekens die niet a-z of 0-9 zijn worden weg gehaald dus sql injection wordt lastig lijkt me zo.
Quote:
Dat is niet zo, want als er een dubbel bericht wordt gedetecteerd in de database wordt de nieuwe niet geaccepteerd, en krijg je een foutmelding terug.Ja, maar dan komen ze evengoed in de database terecht.
Vind je trouwens dat in de rest van mijn opmerkingen ook niets zit, of ga je dat veranderen?
0 -0
-0
mja ik heb het script niet getest ofzo met een kijkje vind ik het er wel goed uitzien alleen qua gebruiksgemak? Ik zag namelijk dat een bericht maar 1x mag word gebruikt. Betekend dat dan dat er maar 1 persoon is die in je gasten boek lol mag zeggen?
0 -0
-0
Ik ben het eens met Lasse, en:
Waarom kijk je steeds of het resultaat van mysql_query() 1 is? mysql_query() geeft een resource terug, geen integer.
En waarom de query in een string zetten, als je hem niet gebruikt om bijvoorbeeld te loggen?
En van
kun je net zo goed het volgende maken:
Waarom kijk je steeds of het resultaat van mysql_query() 1 is? mysql_query() geeft een resource terug, geen integer.
En waarom de query in een string zetten, als je hem niet gebruikt om bijvoorbeeld te loggen?
En van
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$num = mysql_num_rows($result);
//Als er resultaten zijn
if($num > 0)
{
//Return false
return false;
}
//Als er geen resultaten zijn
else
{
//Return true
return true;
}
//Als er resultaten zijn
if($num > 0)
{
//Return false
return false;
}
//Als er geen resultaten zijn
else
{
//Return true
return true;
}
kun je net zo goed het volgende maken:
Code (php)
1
return (mysql_num_rows($result) > 0);
0 -0
-0
Code (php)
1
2
3
4
5
6
7
8
9
2
3
4
5
6
7
8
9
<?
$result = mysql_query($sql);
//Echot een eventuele mysql error
echo mysql_error();
//Zet het aantal resultaten in $num
$num = mysql_num_rows($result);
?>
$result = mysql_query($sql);
//Echot een eventuele mysql error
echo mysql_error();
//Zet het aantal resultaten in $num
$num = mysql_num_rows($result);
?>
En waar is de foutafhandeling? mysql_num_rows() levert een dikke error op wanneer de query is mislukt en de echo mysql_error() gaat je daar ook echt niet bij helpen. Tuurlijk, dat helpt bij het debuggen, maar om dan nóg maar een error te veroorzaken, dat lijkt mij wat overdreven.
Op diverse plaatsen haal je dit geintje uit, dit script is dus nog niet voor de helft klaar, het belangrijkste onderdeel ontbreekt nog. Foutafhandeling en beveiling, wat eveneens ontbreekt.
`bericht` VARCHAR( 50 ) NOT NULL ,
`md5` VARCHAR( 250 ) NOT NULL ,
Een bericht mag maar 50 karakters lang zijn? En een md5-hash die onmogelijk langer (of korter) kan zijn dan 32 karakters, mag van jou 250 karakters lang worden? Dan maak je wel hele bijzondere md5-hashes aan...
En vergeet niet te controleren of een bericht niet langer is dan maximale lengte, MySQL knipt het restant er gewoon vanaf en jij bent een deel van je data kwijt. Maar goed, daar kies je voor wanneer je met een dataramp gaat werken. Sterkte!
0 -0
-0
ipv if(isset($_POST["submit"])) dan if($_SERVER['REQUEST_METHOD']=="POST") of hoe pas ik het precies toe?
Bericht lengte was idd fout , zo ook md5. aangepast.
Bericht lengte was idd fout , zo ook md5. aangepast.
0 -0
-0
Uhm... Gewoon if(isset($_POST["submit"])) vervangen door if($_SERVER['REQUEST_METHOD']=="POST") ?
0 -0
-0
ik ben niet zo'n expert in php, maar hoe kan je zorgen dat een gebruiker meerdere keren kan posten???
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu