hvordan foreholder jeg mig til register_globals OFF

Denne debat kan måske svare på dit spørgsmål? (er dog ikke helt sikker på hvad du mener)

http://www.eksperten.dk/spm/313236

<html><body>

</body></html>
<center>
<?php
  $connection = mysql_connect("mysql.ibs13.dk","ibs13dk","heu67ybt");
  mysql_select_db("ibs13dk", $connection);


if ($form_name && $form_brugernavn && $form_pass && $form_email) {
    mysql_query("insert into users (name, brugernavn, pass, email) values ('$form_name', '$form_brugernavn', '$form_pass', '$form_email')");
}
else {
    echo ('
        <form method="POST" action="test.php">
            Navn: <br><input type="text" name="form_name" size="15"></br>
            Brugernavn: <br><input type="text" name="form_brugernavn" size="20"></br>
            Pass: <br><input type="text" name="form_pass" size="15"></br>
            Email: <br><input type="text" name="form_email" size="20"></br>
            <input type="Submit" value="Tilmeld" name="B1"><input type="Reset" value="Slet" name="B2">
        </form>
');
}
  $result = mysql_query("select * from users");
  $number = mysql_num_rows($result);
  if ($number > 0) {
    $rownumber = 1;
    while($row = mysql_fetch_array($result)) {
    print "$rownumber - $row[name] - $row[brugernavn] - $row[email] <br>";
      $rownumber = $rownumber + 1;
    }
  }


?>
   
<a href="tabel.php">Startside</a>
min kode ser sådanne ud og virker lokalt men på min udbyders server er den sat til global off så skal bruge en kode der vil virke

<html><body>

</body></html>
<center>
<?php
  $connection = mysql_connect("mysql.ibs13.dk","ibs13dk","heu67ybt");
  mysql_select_db("ibs13dk", $connection);


if ($_POST['form_name'] && $_POST['form_brugernavn'] && $_POST['form_pass'] && $_POST['form_email']) {
    mysql_query("insert into users (name, brugernavn, pass, email) values ('$form_name', '$form_brugernavn', '$form_pass', '$form_email')");
}
else {
    echo ('
        <form method="POST" action="test.php">
            Navn: <br><input type="text" name="form_name" size="15"></br>
            Brugernavn: <br><input type="text" name="form_brugernavn" size="20"></br>
            Pass: <br><input type="text" name="form_pass" size="15"></br>
            Email: <br><input type="text" name="form_email" size="20"></br>
            <input type="Submit" value="Tilmeld" name="B1"><input type="Reset" value="Slet" name="B2">
        </form>
');
}
  $result = mysql_query("select * from users");
  $number = mysql_num_rows($result);
  if ($number > 0) {
    $rownumber = 1;
    while($row = mysql_fetch_array($result)) {
    print "$rownumber - $row[name] - $row[brugernavn] - $row[email] <br>";
      $rownumber = $rownumber + 1;
    }
  }


?>

den opretter et nyt id i tabellen men den sætter ikke name brugernavn pass email ind i tabellen

kan du sige hvad der evt. kunne være galt før gjore den slet ingen ting nu laver den da et id. mere

ok så skal du også lige have skiftet denne linie ud:

mysql_query("insert into users (name, brugernavn, pass, email) values ('$form_name', '$form_brugernavn', '$form_pass', '$form_email')");

med denne:

mysql_query("insert into users (name, brugernavn, pass, email) values ('$_POST['form_name']', '$_POST['form_brugernavn']', '$_POST['form_pass']', '$_POST['form_email']')");

Her kan du læse lidt om hvordan man arbejder med variabler når register globals = off:

http://www.php.net/manual/en/security.registerglobals.php

Parse error: parse error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in d:\home\ibs13dk\www\hej\flemming\test.php on line 11
så gik det helt galt

har prøvet at læse den forklaring giver ikke helt mening er lidt ny i dette

øj øj øj! det gør jo helt ondt at se på din kode! især når du direkte og i al offentlighed fortæller, hvor man kan finde din ret slemme sikkerhedsfejl... på få sekunder kan enhver idiot slette hele din database (og måske endda mere)...

søg på google og på diverse sikkerhedssites omkring SQL-injection...

(beklager det eller lidt off-topic post... men jeg synes bare lige, at jeg ville gøre opmærksom på problemet...)

jo men ved det jo godt tænkte først over det senere men for min udbyder til at ændre koden når jeg er færdig lort sker eller shit happens men så var det jo godt at jeg ikke kan få noget ind i den database

jeg må se hvad det SQL-injection kan gøre

http://borderworlds.dk/writings/why_php_is_broken.html
http://www.sqlsecurity.com/faq-inj.asp
http://www.aspfaqs.com/aspfaqs/ShowFAQ.asp?FAQID=194

ok

tak for point...