Регистрация нового пользователя
Если можно, проверьте пожалуйста мой скрипт на уязвимость и правильность, я только начал изучать php и mysql и поэтому буду очень признателен за ваши советы по безопасности, а также если можно дайте ссылку на урок где можно былобы авторизовать пользователя и зашитить другие страницы
Код:
<?
//проверка что на страницу попали именно со страницы формы (упрощеный вариант)
if (isset($HTTP_POST_VARS['send'])){
//обрезаем переменные и приводим их к безопасному виду
$login = substr($HTTP_POST_VARS['login'], 0, 20);
$password = substr($HTTP_POST_VARS['password'], 0, 6);
$firstname = substr($HTTP_POST_VARS['firstname'], 0, 255);
$lastname = substr($HTTP_POST_VARS['lastname'], 0, 255);
$otch = substr($HTTP_POST_VARS['otch'], 0, 255);
$telefon = substr($HTTP_POST_VARS['telefon'], 0, 255);
$mail = substr($HTTP_POST_VARS['mail'], 0, 50);
/*if (preg_match("/[^(w)|(x7F-xFF)|(s)]/", $login)) $login = ""; */
if($mail!="")
if (preg_match("/[^(w)|(@)|(.)]/",$mail)) $mail = "";
$adress = substr($HTTP_POST_VARS['adress'], 0, 255);
//далее проверяем всели поля заполнены
if($pass2==$password){
if ($login!=""&&$password!=""&&$firstname!=""&&$lastname&&$telefon!=""&&$adress!=""){
//проверяем наличие пользователя с данным логином в базе
$user='test';
$passb='test';
$mydb='test';
$sql=mysql_connect('localhost', $user, $passb) or die ('немогу подключитса к базе');
$db=mysql_select_db($mydb,$sql)or die('немогу выбрать базу');
$result = mysql_query("SELECT login FROM user WHERE login = '$login' ")or die(mysql_error());
if (mysql_num_rows($result) > 0) {
//если пользователь с данным именем существует отправляем пользователя на форму с предупреждением
?>
<meta http-equiv="refresh" content="5; url=/index.php">
<h2 align='center'>
</h2>
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h2 class="style1"><span class="style5"><span class="style2">Такой пользователь ужесществует!
Пожалуста введите другой логин! </span>
</h2>
<h4 class="style1"> Через несколько секунд Вы будете переведены не главную страницу! </h4>
<p class="style3"></p></td>
</tr>
</table>
<?
exit;
}
else{
/* echo"проверка прошла успешно вносим данные в базу"; */
$db=mysql_select_db($mydb,$sql)or die('немогу выбрать базу');
$result = mysql_query("INSERT INTO user VALUES ('','".$level."','".$login."','".$password."','".$firstname."','".$lastname."','".$otch."','".$telefon."','".$mail."','".$adress."','".$data."')")or die(mysql_error());
/* Вывод записанной информации из формы*/?> <meta http-equiv="refresh" content="5; url=/index.php">
<?
echo" <h2 align='center'><span class='style1'>Вы спешно зарегистрировались!
"?><?php echo" Пожалуста запомните Ваши данные!
"?> <?php echo" через несколько секунд Вы будете переведены не главную страницу!
"?>
<? echo" ' $lastname $firstname $otch'"?>
<?php echo" </h2> "?>
<?php echo" <table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> "?>
<?php echo" <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> "?>
<?php echo" <td align='left' valign='middle' bgcolor='#000066'><span class='style4'>Вы зарегистрировались в "?>
<? echo" '$data ' "?> <?php echo" </span></td>
</tr>
<tr> "?>
<?php echo" <td height='50' align='center' valign='middle' bgcolor='#F4F3F6'><span class='style1'>Ваш телефон: "?>
<?php echo" $telefon "?><?php echo" </span></td>
</tr>
<tr>
<td align='center' valign='middle' bgcolor='#000066' height='2'></td>
</tr>
<tr> "?>
<?php echo" <td height='50' align='center' valign='middle' bgcolor='#F4F3F6'><span class='style1'>Ваш адресс: "?>
<?php echo" $adress "?> <?php echo" </span></td> </tr><tr> <td align='center' valign='middle' bgcolor='#000066' height='2'></td>
</tr>"?>
<?php echo" <tr> "?>
<?php echo"<td height='50' align='center' valign='middle' bgcolor='#F4F3F6'><span class='style1'>Ваш email: "?>
<?php echo" $mail "?><?php echo" </span></td>
</tr>
</table> ";
exit;
}
}
else{
//если не все поля заполнены выдаём предупреждение?>
<meta http-equiv="refresh" content="3; url=index.php?id=2">
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h1 class="style1 style5">
<span class="style5">У Вас остались незаполненные поля!!! </h1>
<h4 class="style1"> Через несколько секунд Вы будете переведены на страницу регистрации! </h4>
<p class="style3"></p></td>
</tr>
</table><?
}
exit;
}else{?>
<meta http-equiv="refresh" content="3; url=index.php?id=2">
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h1 class="style1 style5">
<span class="style5">Пароль не совпадает с контрольным </h1>
<h4 class="style1"> Через несколько секунд Вы будете переведены на страницу регистрации! </h4>
<p class="style3"></p></td>
</tr>
</table> <?
}
}
else{
//если пришли не со страницы формы отправляем на нее
?>
<meta http-equiv="refresh" content="3; url=/index.php">
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h1 class="style1 style5">
<span class="style5">У Вас нет права доступа на эту страницу!!! </h1>
<h4 class="style1"> Через несколько секунд Вы будете переведены на главную страницу! </h4>
<p class="style3"></p></td>
</tr>
</table>
<?
exit;
}
?>
//проверка что на страницу попали именно со страницы формы (упрощеный вариант)
if (isset($HTTP_POST_VARS['send'])){
//обрезаем переменные и приводим их к безопасному виду
$login = substr($HTTP_POST_VARS['login'], 0, 20);
$password = substr($HTTP_POST_VARS['password'], 0, 6);
$firstname = substr($HTTP_POST_VARS['firstname'], 0, 255);
$lastname = substr($HTTP_POST_VARS['lastname'], 0, 255);
$otch = substr($HTTP_POST_VARS['otch'], 0, 255);
$telefon = substr($HTTP_POST_VARS['telefon'], 0, 255);
$mail = substr($HTTP_POST_VARS['mail'], 0, 50);
/*if (preg_match("/[^(w)|(x7F-xFF)|(s)]/", $login)) $login = ""; */
if($mail!="")
if (preg_match("/[^(w)|(@)|(.)]/",$mail)) $mail = "";
$adress = substr($HTTP_POST_VARS['adress'], 0, 255);
//далее проверяем всели поля заполнены
if($pass2==$password){
if ($login!=""&&$password!=""&&$firstname!=""&&$lastname&&$telefon!=""&&$adress!=""){
//проверяем наличие пользователя с данным логином в базе
$user='test';
$passb='test';
$mydb='test';
$sql=mysql_connect('localhost', $user, $passb) or die ('немогу подключитса к базе');
$db=mysql_select_db($mydb,$sql)or die('немогу выбрать базу');
$result = mysql_query("SELECT login FROM user WHERE login = '$login' ")or die(mysql_error());
if (mysql_num_rows($result) > 0) {
//если пользователь с данным именем существует отправляем пользователя на форму с предупреждением
?>
<meta http-equiv="refresh" content="5; url=/index.php">
<h2 align='center'>
</h2>
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h2 class="style1"><span class="style5"><span class="style2">Такой пользователь ужесществует!
Пожалуста введите другой логин! </span>
</h2>
<h4 class="style1"> Через несколько секунд Вы будете переведены не главную страницу! </h4>
<p class="style3"></p></td>
</tr>
</table>
<?
exit;
}
else{
/* echo"проверка прошла успешно вносим данные в базу"; */
$db=mysql_select_db($mydb,$sql)or die('немогу выбрать базу');
$result = mysql_query("INSERT INTO user VALUES ('','".$level."','".$login."','".$password."','".$firstname."','".$lastname."','".$otch."','".$telefon."','".$mail."','".$adress."','".$data."')")or die(mysql_error());
/* Вывод записанной информации из формы*/?> <meta http-equiv="refresh" content="5; url=/index.php">
<?
echo" <h2 align='center'><span class='style1'>Вы спешно зарегистрировались!
"?><?php echo" Пожалуста запомните Ваши данные!
"?> <?php echo" через несколько секунд Вы будете переведены не главную страницу!
"?>
<? echo" ' $lastname $firstname $otch'"?>
<?php echo" </h2> "?>
<?php echo" <table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> "?>
<?php echo" <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> "?>
<?php echo" <td align='left' valign='middle' bgcolor='#000066'><span class='style4'>Вы зарегистрировались в "?>
<? echo" '$data ' "?> <?php echo" </span></td>
</tr>
<tr> "?>
<?php echo" <td height='50' align='center' valign='middle' bgcolor='#F4F3F6'><span class='style1'>Ваш телефон: "?>
<?php echo" $telefon "?><?php echo" </span></td>
</tr>
<tr>
<td align='center' valign='middle' bgcolor='#000066' height='2'></td>
</tr>
<tr> "?>
<?php echo" <td height='50' align='center' valign='middle' bgcolor='#F4F3F6'><span class='style1'>Ваш адресс: "?>
<?php echo" $adress "?> <?php echo" </span></td> </tr><tr> <td align='center' valign='middle' bgcolor='#000066' height='2'></td>
</tr>"?>
<?php echo" <tr> "?>
<?php echo"<td height='50' align='center' valign='middle' bgcolor='#F4F3F6'><span class='style1'>Ваш email: "?>
<?php echo" $mail "?><?php echo" </span></td>
</tr>
</table> ";
exit;
}
}
else{
//если не все поля заполнены выдаём предупреждение?>
<meta http-equiv="refresh" content="3; url=index.php?id=2">
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h1 class="style1 style5">
<span class="style5">У Вас остались незаполненные поля!!! </h1>
<h4 class="style1"> Через несколько секунд Вы будете переведены на страницу регистрации! </h4>
<p class="style3"></p></td>
</tr>
</table><?
}
exit;
}else{?>
<meta http-equiv="refresh" content="3; url=index.php?id=2">
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h1 class="style1 style5">
<span class="style5">Пароль не совпадает с контрольным </h1>
<h4 class="style1"> Через несколько секунд Вы будете переведены на страницу регистрации! </h4>
<p class="style3"></p></td>
</tr>
</table> <?
}
}
else{
//если пришли не со страницы формы отправляем на нее
?>
<meta http-equiv="refresh" content="3; url=/index.php">
<table width='800' border='0' align='center' cellpadding='3' cellspacing='0'> <tr>
<td height='3' bgcolor='#006600'></td>
</tr>
<tr> <td align='left' valign='middle' bgcolor='#000066'></td>
</tr>
<tr> <td align='center' valign='middle' bgcolor='#F4F3F6'><h1 class="style1 style5">
<span class="style5">У Вас нет права доступа на эту страницу!!! </h1>
<h4 class="style1"> Через несколько секунд Вы будете переведены на главную страницу! </h4>
<p class="style3"></p></td>
</tr>
</table>
<?
exit;
}
?>