Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Ant-Injection SQL

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Tempo
  • Show
Clear All
new posts
Anterior template Avançar
  • Font Size
    #1

    Duvida Ant-Injection SQL

    Olá eu estou estudando maneiras de deixar um site mais seguro contra injecition sql, queria muito que alguém me desse um exemplo de como eu poderia fazer isso no meu site.


    segui uma pagina do site, se alguém puder me dar um exemplo usando essa pagina que tenho eu ficaria muito grato..

    Código:
    <?php conectado(); ?>
<title><?php echo $servidor; ?> // Registro</title>
	<h1>Registro</h1>
	<div id="bgcontent">
	<?php
		if(isset($_POST['submit'])) {
			$usuario = $_POST["usuario"];
			$senha = $_POST["senha"];
			$resenha = $_POST["resenha"];
			$email = $_POST["email"];
			$sexo = $_POST["sexo"];
			$dia = $_POST["dia"];
			$mes = $_POST["mes"];
			$ano = $_POST["ano"];

			if($usuario == "") { echo "<script>alert('Você precisa preencher o campo Usuário para finalizar o cadastro.'); location.href='?p=registro'</script>"; exit; } else {
				$consulta = mysql_query("SELECT * FROM login WHERE userid='$usuario'");
				$linha = mysql_num_rows($consulta);
					if($linha != 0) { echo "<script>alert('O nome de Usuário escolhido já está sendo usado por outro jogador.'); location.href='?p=registro'</script>"; exit; }
			}

			if($senha == "" || $resenha == "") { echo "<script>alert('Você precisa preencher o campo Senha/Resenha para finalizar o cadastro.'); location.href='?p=registro'</script>"; exit; } else {
				if($senha != $resenha) { echo "<script>alert('As senhas escolhidas não são correspondentes.'); location.href='?p=registro'</script>"; exit; }
			}

			if($email == "") { echo "<script>alert('Você precisa preencher o campo E-mail para finalizar o cadastro.'); location.href='?p=registro'</script>"; exit; } else {
				$consulta = mysql_query("SELECT * FROM login WHERE email='$email'");
				$linha = mysql_num_rows($consulta);
					if($linha != 0) { echo "<script>alert('O E-mail escolhido já está sendo usado por outro jogador.'); location.href='?p=registro'</script>"; exit; }
			}

			mysql_query("insert into login (userid,user_pass,sex,email,birthdate) values ('$usuario','$senha','$sexo','$email','$ano-$mes-$dia')");

			if(validaUsuario($usuario,$senha) == true) { echo "<script>alert('Seja bem-vindo ao $servidor, sua conta foi criada e você foi automaticamente conectado ao website.'); location.href='$website'</script>"; exit; }

		} else {

			echo "<form action='?p=registro' method='POST' autocomplete='off'>
					<legform>Usuário:</legform><input type='text' name='usuario' class='input' maxlength='23'>
					<legform>Senha:</legform><input type='password' name='senha' class='input maxlength='32''>
					<legform>Re-Senha:</legform><input type='password' name='resenha' class='input' maxlength='32'>
					<legform>E-mail:</legform><input type='email' name='email' class='input' maxlength='39'>
					<legform>Sexo:</legform>
					<select name='sexo' class='select'>
						<option value='M'>Masculino</option>
						<option value='F'>Feminino</option>
					</select>
					<legform>Nascimento:</legform>
						<select name='dia' class='data'>
							<option value='01'>01</option>
							<option value='02'>02</option>
							<option value='03'>03</option>
							<option value='04'>04</option>
							<option value='05'>05</option>
							<option value='06'>06</option>
							<option value='07'>07</option>
							<option value='08'>08</option>
							<option value='09'>09</option>
							<option value='10'>10</option>
							<option value='11'>11</option>
							<option value='12'>12</option>
							<option value='13'>13</option>
							<option value='14'>14</option>
							<option value='15'>15</option>
							<option value='16'>16</option>
							<option value='17'>17</option>
							<option value='18'>18</option>
							<option value='19'>19</option>
							<option value='20'>20</option>
							<option value='21'>21</option>
							<option value='22'>22</option>
							<option value='23'>23</option>
							<option value='24'>24</option>
							<option value='25'>25</option>
							<option value='26'>26</option>
							<option value='27'>27</option>
							<option value='28'>28</option>
							<option value='29'>29</option>
							<option value='30'>30</option>
							<option value='31'>31</option>
						</select>
						<select name='mes' class='data'>
							<option value='01'>Janeiro</option>
							<option value='02'>Fevereiro</option>
							<option value='03'>Março</option>
							<option value='04'>Abril</option>
							<option value='05'>Maio</option>
							<option value='06'>Junho</option>
							<option value='07'>Julho</option>
							<option value='08'>Agosto</option>
							<option value='09'>Setembro</option>
							<option value='10'>Outubro</option>
							<option value='11'>Novembro</option>
							<option value='12'>Dezembro</option>
						</select>
						<select name='ano' class='data2'>
							<option value='2013'>2013</option>
							<option value='2012'>2012</option>
							<option value='2011'>2011</option>
							<option value='2010'>2010</option>
							<option value='2009'>2009</option>
							<option value='2008'>2008</option>
							<option value='2007'>2007</option>
							<option value='2006'>2006</option>
							<option value='2005'>2005</option>
							<option value='2004'>2004</option>
							<option value='2003'>2003</option>
							<option value='2002'>2002</option>
							<option value='2001'>2001</option>
							<option value='2000'>2000</option>
							<option value='1999'>1999</option>
							<option value='1998'>1998</option>
							<option value='1997'>1997</option>
							<option value='1996'>1996</option>
							<option value='1995'>1995</option>
							<option value='1994'>1994</option>
							<option value='1993'>1993</option>
							<option value='1992'>1992</option>
							<option value='1991'>1991</option>
							<option value='1990'>1990</option>
							<option value='1989'>1989</option>
							<option value='1988'>1988</option>
							<option value='1987'>1987</option>
							<option value='1986'>1986</option>
							<option value='1985'>1985</option>
							<option value='1984'>1984</option>
							<option value='1983'>1983</option>
							<option value='1982'>1982</option>
							<option value='1981'>1981</option>
							<option value='1980'>1980</option>
							<option value='1979'>1979</option>
							<option value='1978'>1978</option>
							<option value='1977'>1977</option>
							<option value='1976'>1976</option>
							<option value='1975'>1975</option>
							<option value='1974'>1974</option>
							<option value='1973'>1973</option>
							<option value='1972'>1972</option>
							<option value='1971'>1971</option>
							<option value='1970'>1970</option>
							<option value='1969'>1969</option>
							<option value='1968'>1968</option>
							<option value='1967'>1967</option>
							<option value='1966'>1966</option>
							<option value='1965'>1965</option>
							<option value='1964'>1964</option>
							<option value='1963'>1963</option>
							<option value='1962'>1962</option>
							<option value='1961'>1961</option>
							<option value='1960'>1960</option>
						</select>
					<legform></legform><button type='submit' name='submit' class='button'>enviar</button>
				</form>"; }
	?>
	</div>
    Tags: Nenhum(a)
    • Top
  • Font Size
    #2
    Dos métodos que eu já testei, o que pareceu ser mais eficiente foi utilizar PDO. Se pesquisar, há bastante material na internet. Exemplo:

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Outra solução seria mysql_real_escape_string

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...


    Um código meu de exemplo usando o PDO:

    Código:
    $Usuario = $_POST['User'];
$Password = $_POST['Pass'];

$pdo = new PDO("mysql:host=localhost;dbname=database", "root", "senha");
   if(!$pdo){
       die('Erro ao criar a conexão');
   }

if(isset($Usuario) and isset($Password)) {

try{
       $stmte = $pdo->prepare("SELECT ID_LOGIN FROM LOGIN WHERE USUARIO = ? and SENHA = ? and ID_NIVEL = 2");
       $stmte->bindParam(1, $Usuario , PDO::PARAM_STR);
       $stmte->bindParam(2, $Password , PDO::PARAM_STR);
       $executa = $stmte->execute();
 
       if($executa){
           while($reg = $stmte->fetch(PDO::FETCH_OBJ)){ /* Para recuperar um ARRAY utilize PDO::FETCH_ASSOC */
                echo 'Código: ' . $reg->ID_LOGIN . '<br />';
                $CodLogin = $reg->ID_LOGIN;
           }
           if(isset($CodLogin)) {
               echo "login com sucesso";
           } else {
            echo "Código não setado";
           }
       }
       else{
           echo 'Erro ao inserir os dados';
       }
   }
   catch(PDOException $e){
      echo $e->getMessage();
   }
    Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
    • Top

    Comment

    • Font Size
      #3
      Eu andei lendo bastante esse material, mais por falta de experiencia e pratica não consegui adicionar de uma forma funcional no meu script,

      Sera que você poderia me dar um pequeno exemplo usando a pagina que postei?

      Agradeço muito.
      • Top

      Comment

      • Font Size
        #4
        Que eu tenha visto alterei tudo, não testei o código, qualquer coisa só dar um toque aí. Segue, ele usando PDO como, exemplo:

        Código:
        <title><?php echo $servidor; ?> // Registro</title>
	<h1>Registro</h1>
	<div id="bgcontent">
	<?php
		if(isset($_POST['submit'])) {
			$usuario = $_POST["usuario"];
			$senha = $_POST["senha"];
			$resenha = $_POST["resenha"];
			$email = $_POST["email"];
			$sexo = $_POST["sexo"];
			$dia = $_POST["dia"];
			$mes = $_POST["mes"];
			$ano = $_POST["ano"];
			
			$pdo = new PDO("mysql:host=localhost;dbname=<insira aqui o nome do banco>", "<insira aqui o usuario>", "<insira aqui a senha>");
                if(!$pdo){
                    die('Erro ao criar a conexão');
                }
   

			if($usuario == "") { echo "<script>alert('Você precisa preencher o campo Usuário para finalizar o cadastro.'); location.href='?p=registro'</script>"; exit; } else {
			
			
			$stmte = $pdo->prepare("SELECT * FROM login WHERE userid=?");
            $stmte->bindParam(1, $usuario , PDO::PARAM_STR);
            $executa = $stmte->execute();
			
			$linha = $stmte->fetchColumn();
		    if($linha != 0) { echo "<script>alert('O nome de Usuário escolhido já está sendo usado por outro jogador.'); location.href='?p=registro'</script>"; exit; }
			}

			if($senha == "" || $resenha == "") { echo "<script>alert('Você precisa preencher o campo Senha/Resenha para finalizar o cadastro.'); location.href='?p=registro'</script>"; exit; } else {
				if($senha != $resenha) { echo "<script>alert('As senhas escolhidas não são correspondentes.'); location.href='?p=registro'</script>"; exit; }
			}

			if($email == "") { echo "<script>alert('Você precisa preencher o campo E-mail para finalizar o cadastro.'); location.href='?p=registro'</script>"; exit; } else {
			
			$stmte = $pdo->prepare("SELECT * FROM login WHERE email=?");
            $stmte->bindParam(1, $email , PDO::PARAM_STR);
            $executa = $stmte->execute();
			$linha = $stmte->fetchColumn();
			
					if($linha != 0) { echo "<script>alert('O E-mail escolhido já está sendo usado por outro jogador.'); location.href='?p=registro'</script>"; exit; }
			}


            $sql = "INSERT INTO login(userid,user_pass,sex,email,birthdate) VALUES (:User_Id,:UserPass,:Sexo,:User_Email,:Nascimento)";                             
            $stmt = $pdo->prepare($sql);                            
            $stmt->bindParam(':User_Id', $usuario, PDO::PARAM_STR);       
            $stmt->bindParam(':UserPass', $senha, PDO::PARAM_STR); 
            $stmt->bindParam(':Sexo', $sexo, PDO::PARAM_STR);
            $stmt->bindParam(':User_Email', $email, PDO::PARAM_STR); 
            $stmt->bindParam(':Nascimento', $ano-$mes-$dia, PDO::PARAM_STR);   
                                      
            $stmt->execute();

			if(validaUsuario($usuario,$senha) == true) { echo "<script>alert('Seja bem-vindo ao $servidor, sua conta foi criada e você foi automaticamente conectado ao website.'); location.href='$website'</script>"; exit; }

		} else {

			echo "<form action='?p=registro' method='POST' autocomplete='off'>
					<legform>Usuário:</legform><input type='text' name='usuario' class='input' maxlength='23'>
					<legform>Senha:</legform><input type='password' name='senha' class='input maxlength='32''>
					<legform>Re-Senha:</legform><input type='password' name='resenha' class='input' maxlength='32'>
					<legform>E-mail:</legform><input type='email' name='email' class='input' maxlength='39'>
					<legform>Sexo:</legform>
					<select name='sexo' class='select'>
						<option value='M'>Masculino</option>
						<option value='F'>Feminino</option>
					</select>
					<legform>Nascimento:</legform>
						<select name='dia' class='data'>
							<option value='01'>01</option>
							<option value='02'>02</option>
							<option value='03'>03</option>
							<option value='04'>04</option>
							<option value='05'>05</option>
							<option value='06'>06</option>
							<option value='07'>07</option>
							<option value='08'>08</option>
							<option value='09'>09</option>
							<option value='10'>10</option>
							<option value='11'>11</option>
							<option value='12'>12</option>
							<option value='13'>13</option>
							<option value='14'>14</option>
							<option value='15'>15</option>
							<option value='16'>16</option>
							<option value='17'>17</option>
							<option value='18'>18</option>
							<option value='19'>19</option>
							<option value='20'>20</option>
							<option value='21'>21</option>
							<option value='22'>22</option>
							<option value='23'>23</option>
							<option value='24'>24</option>
							<option value='25'>25</option>
							<option value='26'>26</option>
							<option value='27'>27</option>
							<option value='28'>28</option>
							<option value='29'>29</option>
							<option value='30'>30</option>
							<option value='31'>31</option>
						</select>
						<select name='mes' class='data'>
							<option value='01'>Janeiro</option>
							<option value='02'>Fevereiro</option>
							<option value='03'>Março</option>
							<option value='04'>Abril</option>
							<option value='05'>Maio</option>
							<option value='06'>Junho</option>
							<option value='07'>Julho</option>
							<option value='08'>Agosto</option>
							<option value='09'>Setembro</option>
							<option value='10'>Outubro</option>
							<option value='11'>Novembro</option>
							<option value='12'>Dezembro</option>
						</select>
						<select name='ano' class='data2'>
							<option value='2013'>2013</option>
							<option value='2012'>2012</option>
							<option value='2011'>2011</option>
							<option value='2010'>2010</option>
							<option value='2009'>2009</option>
							<option value='2008'>2008</option>
							<option value='2007'>2007</option>
							<option value='2006'>2006</option>
							<option value='2005'>2005</option>
							<option value='2004'>2004</option>
							<option value='2003'>2003</option>
							<option value='2002'>2002</option>
							<option value='2001'>2001</option>
							<option value='2000'>2000</option>
							<option value='1999'>1999</option>
							<option value='1998'>1998</option>
							<option value='1997'>1997</option>
							<option value='1996'>1996</option>
							<option value='1995'>1995</option>
							<option value='1994'>1994</option>
							<option value='1993'>1993</option>
							<option value='1992'>1992</option>
							<option value='1991'>1991</option>
							<option value='1990'>1990</option>
							<option value='1989'>1989</option>
							<option value='1988'>1988</option>
							<option value='1987'>1987</option>
							<option value='1986'>1986</option>
							<option value='1985'>1985</option>
							<option value='1984'>1984</option>
							<option value='1983'>1983</option>
							<option value='1982'>1982</option>
							<option value='1981'>1981</option>
							<option value='1980'>1980</option>
							<option value='1979'>1979</option>
							<option value='1978'>1978</option>
							<option value='1977'>1977</option>
							<option value='1976'>1976</option>
							<option value='1975'>1975</option>
							<option value='1974'>1974</option>
							<option value='1973'>1973</option>
							<option value='1972'>1972</option>
							<option value='1971'>1971</option>
							<option value='1970'>1970</option>
							<option value='1969'>1969</option>
							<option value='1968'>1968</option>
							<option value='1967'>1967</option>
							<option value='1966'>1966</option>
							<option value='1965'>1965</option>
							<option value='1964'>1964</option>
							<option value='1963'>1963</option>
							<option value='1962'>1962</option>
							<option value='1961'>1961</option>
							<option value='1960'>1960</option>
						</select>
					<legform></legform><button type='submit' name='submit' class='button'>enviar</button>
				</form>"; }
	?>
	</div>
        Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
        • Top

        Comment

        • Font Size
          #5
          No meu site tem um pagina onde se conecta ao banco de dados acredito que deva lá que tenha que adicionar essa função PDO ou estou enganado? como eu aplico aquele exemplo nesse caso?

          Código:
           
<?php
	@session_start();
	$server = " ";
	$userdb = " ";
	$senhadb = " ";
	$banco = " ";
	$website = "http://www.meusite.com.br";
	$forum = "http://www.meusite.com.br/forum/";
	$ativo = basename($_SERVER['REQUEST_URI']);
	$servidor = "MeuRO";
	$moeda = "cash";
	$armazem = "600";

	$link = mysql_connect("$server","$userdb","$senhadb");
	$db_select = mysql_select_db("$banco",$link);

	function validaUsuario($usuario, $senha) { $nusuario = addslashes($usuario); $nsenha = addslashes($senha);

	$sql = mysql_query("SELECT 1 FROM `login` WHERE `userid` = '".$nusuario."' AND `user_pass` = '".$nsenha."' LIMIT 1");
	$resultado = mysql_fetch_array($sql);

	if(empty($resultado)) { return false; } else { $_SESSION['logado'] = 1; $_SESSION['usuarioID'] = $resultado['account_id']; $_SESSION['usuarioLogin'] = $usuario; $_SESSION['usuarioSenha'] = $senha; } return true; }

	$accountid = $_SESSION['id'];
	$contaid = $_SESSION['usuarioID'];
	$userid = $_SESSION['usuarioLogin'];
	$usersenha = $_SESSION['usuarioSenha'];

	$resultado = mysql_query("SELECT * FROM `login` WHERE `userid`='$userid' LIMIT 1");
	$consulta = mysql_fetch_array($resultado);
		$account_id = $consulta[account_id];
		$sex = $consulta[sex];
		$email = $consulta[email];
		$level = $consulta[level];
		$creditos = $consulta[creditos];

	$totalchar = mysql_num_rows(mysql_query("SELECT * FROM `char`"));
	$totalguild = mysql_num_rows(mysql_query("SELECT * FROM `guild`"));
	$totalcontas = mysql_num_rows(mysql_query("SELECT * FROM login"));
	$totalon = mysql_num_rows(mysql_query("SELECT 1 FROM `char` WHERE online = '1'"));
	$totalrecord = mysql_result(mysql_query("SELECT `valor` FROM `recordon` WHERE `nome`='recorde'"),0,0);
?>
          • Top

          Comment

          • Font Size
            #6
            Postado Originalmente por cumbe11 Ver Post
            No meu site tem um pagina onde se conecta ao banco de dados acredito que deva lá que tenha que adicionar essa função PDO ou estou enganado? como eu aplico aquele exemplo nesse caso?

            Código:
             
<?php
	@session_start();
	$server = " ";
	$userdb = " ";
	$senhadb = " ";
	$banco = " ";
	$website = "http://www.meusite.com.br";
	$forum = "http://www.meusite.com.br/forum/";
	$ativo = basename($_SERVER['REQUEST_URI']);
	$servidor = "MeuRO";
	$moeda = "cash";
	$armazem = "600";

	$link = mysql_connect("$server","$userdb","$senhadb");
	$db_select = mysql_select_db("$banco",$link);

	function validaUsuario($usuario, $senha) { $nusuario = addslashes($usuario); $nsenha = addslashes($senha);

	$sql = mysql_query("SELECT 1 FROM `login` WHERE `userid` = '".$nusuario."' AND `user_pass` = '".$nsenha."' LIMIT 1");
	$resultado = mysql_fetch_array($sql);

	if(empty($resultado)) { return false; } else { $_SESSION['logado'] = 1; $_SESSION['usuarioID'] = $resultado['account_id']; $_SESSION['usuarioLogin'] = $usuario; $_SESSION['usuarioSenha'] = $senha; } return true; }

	$accountid = $_SESSION['id'];
	$contaid = $_SESSION['usuarioID'];
	$userid = $_SESSION['usuarioLogin'];
	$usersenha = $_SESSION['usuarioSenha'];

	$resultado = mysql_query("SELECT * FROM `login` WHERE `userid`='$userid' LIMIT 1");
	$consulta = mysql_fetch_array($resultado);
		$account_id = $consulta[account_id];
		$sex = $consulta[sex];
		$email = $consulta[email];
		$level = $consulta[level];
		$creditos = $consulta[creditos];

	$totalchar = mysql_num_rows(mysql_query("SELECT * FROM `char`"));
	$totalguild = mysql_num_rows(mysql_query("SELECT * FROM `guild`"));
	$totalcontas = mysql_num_rows(mysql_query("SELECT * FROM login"));
	$totalon = mysql_num_rows(mysql_query("SELECT 1 FROM `char` WHERE online = '1'"));
	$totalrecord = mysql_result(mysql_query("SELECT `valor` FROM `recordon` WHERE `nome`='recorde'"),0,0);
?>
            Não vou mudar tudo e passar o código pronto, considere um incentivo ao seu próprio desenvolvimento (só se aprende fazendo). Mas dou os passos:
            • A sua conexão, incluindo a parte onde você seleciona o db, pode substituir pela parte do meu código PDO = new PDO...
            • Onde tem mysql_query troque pelo pdo->prepare ou pdo->query
            • mysql_num_rows troque pela função fetchColumn()


            Acho que é tudo. Espero que ajude... Qualquer coisa só falar.
            Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
            • Top

            Comment

            • Font Size
              #7
              Muito obrigado você me ajudou muito, eu apenas tive dificuldade para usar a função fetchColumn()

              não sei como empregar ela no meu script
              • Top

              Comment

              • Font Size
                #8
                Postado Originalmente por cumbe11 Ver Post
                Muito obrigado você me ajudou muito, eu apenas tive dificuldade para usar a função fetchColumn()

                não sei como empregar ela no meu script
                Acho que usando o fetchColumn() acabei complicado, sendo que dá para fazer de uma forma mais simples, desculpe-me.

                Tente usar o rowCount(): Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                Código:
                $totalchar = mysql_num_rows(mysql_query("SELECT * FROM `char`"));
                == (equivalente a)
                Código:
                $query = $pdo->query('SELECT * FROM char');
$totalchar = $query->rowCount();
                Qualquer coisa, só dar um toque.
                Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
                • Top

                Comment

                • Font Size
                  #9
                  Mais uma vez muito obrigado.. você estar me ajudando muito, eu tentei fazer essas modificações que você citou mais estar dando o seguinte erro

                  Fatal error: Call to a member function rowCount() on a non-object in /home/root/public_html/site/source/config.php on line 37

                  Eu não sei se estou fazendo certo porque ainda sou bem inexperiente.

                  Por favor me mostre como ficaria apenas uma linha empregando esse função, então eu poderia fazer nas outras facilmente.

                  Mais uma vez muito obrigado
                  • Top

                  Comment

                  • Font Size
                    #10
                    Postado Originalmente por cumbe11 Ver Post
                    Mais uma vez muito obrigado.. você estar me ajudando muito, eu tentei fazer essas modificações que você citou mais estar dando o seguinte erro

                    Fatal error: Call to a member function rowCount() on a non-object in /home/root/public_html/site/source/config.php on line 37

                    Eu não sei se estou fazendo certo porque ainda sou bem inexperiente.

                    Por favor me mostre como ficaria apenas uma linha empregando esse função, então eu poderia fazer nas outras facilmente.

                    Mais uma vez muito obrigado
                    Estou aqui para ajudar, e isto fica feliz em ser útil.

                    Como eu fiz no código acima, o qual remando:
                    Código:
                    $consulta = $pdo->query('SELECT * FROM char');
$totalchar = $consulta->rowCount();
                    Mas adianto uma possibilidade, que é um erro comum, perceba que no código eu faço o rowCount() da variável "$consulta" depois que ela recebeu a query sql passando pelo $pdo, que seria a conexão com o banco como no exemplo;

                    Código:
                    $pdo = new PDO("mysql:host=localhost;dbname=<insira aqui o nome do banco>", "<insira aqui o usuario>", "<insira aqui a senha>");
                    Se não conseguir, mande o seu código que dou uma olhada.
                    Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
                    • Top

                    Comment

                    • Font Size
                      #11
                      Ok.. bem eu consegui empregar algumas modificações que forma sugeridas por você, mais algumas funções quando tento usar dar erro..

                      segui o meu script com as modificações, do jeito que ela estar ai ela funciona, mais ela ainda falta adicionar varias funções. eu apenas consegui usa o new PDO sem que ele desse erro srsrs



                      <?php
                      @session_start();
                      $server = "localhost";
                      $userdb = "root";
                      $senhadb = "admin";
                      $banco = "banco";
                      $website = "http://meusite.com.br/site/";
                      $forum = "http://meusite.com.br/forum/";
                      $ativo = basename($_SERVER['REQUEST_URI']);
                      $servidor = "Site";
                      $moeda = "cash";
                      $armazem = "600";

                      $link = mysql_connect("$server","$userdb","$senhadb");
                      $db_select = mysql_select_db("$banco",$link);

                      function validaUsuario($usuario, $senha) { $nusuario = addslashes($usuario); $nsenha = addslashes($senha);

                      $pdo = new PDO("SELECT 1 FROM `login` WHERE `userid` = '".$nusuario."' AND `user_pass` = '".$nsenha."' LIMIT 1");
                      $resultado = mysql_fetch_array($pdo);

                      if(empty($resultado)) { return false; } else { $_SESSION['logado'] = 1; $_SESSION['usuarioID'] = $resultado['account_id']; $_SESSION['usuarioLogin'] = $usuario; $_SESSION['usuarioSenha'] = $senha; } return true; }

                      $accountid = $_SESSION['id'];
                      $contaid = $_SESSION['usuarioID'];
                      $userid = $_SESSION['usuarioLogin'];
                      $usersenha = $_SESSION['usuarioSenha'];

                      $resultado = mysql_query("SELECT * FROM `login` WHERE `userid`='$userid' LIMIT 1");
                      $consulta = mysql_fetch_array($resultado);
                      $account_id = $consulta[account_id];
                      $sex = $consulta[sex];
                      $email = $consulta[email];
                      $level = $consulta[level];
                      $creditos = $consulta[creditos];

                      $totalchar = mysql_num_rows(mysql_query("SELECT * FROM `char`"));
                      $totalguild = mysql_num_rows(mysql_query("SELECT * FROM `guild`"));
                      $totalcontas = mysql_num_rows(mysql_query("SELECT * FROM login"));
                      $totalon = mysql_num_rows(mysql_query("SELECT 1 FROM `char` WHERE online = '1'"));
                      $totalrecord = mysql_result(mysql_query("SELECT `valor` FROM `recordon` WHERE `nome`='recorde'"),0,0);
                      ?>
                      Last edited by Nickguitar.dll; 30-11-2014, 17:43.
                      • Top

                      Comment

                      • Font Size
                        #12
                        Bom, vamos aos erros...

                        Primeiramente, o $pdo = new PDO(...) é o onde você fará a conexão com o banco de dados, conforme já mandei (mas mando de novo):

                        Código:
                        $pdo = new PDO("mysql:host=localhost;dbname=database", "root", "senha");
   if(!$pdo){
       die('Erro ao criar a conexão');
   }
                        As consultas ao banco é feita conforme exemplo:

                        Código:
                        $query = $pdo->query('SELECT 1 FROM `login` WHERE `userid` = '".$nusuario."' AND `user_pass` = '".$nsenha."' LIMIT 1');
                        E chamo a atenção para mais um detalhe nesse código. "Select 1"? Sua intenção é selecionar o número "1" mesmo? Porque o resultado desse select é "1". Não sei se você quis colocar um * e limitar ele a 1, o que seria feito com o limit no final e não com select 1.

                        E depois disso é passar todas essas consultas para o PDO, para ficar seguro. Acredito que você ainda não fez por conta do erro com o pdo = new PDO(...), mas agora vai.
                        Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
                        • Top

                        Comment

                        • Font Size
                          #13
                          Muito obrigado pela juda..

                          um amigo me disse que o principal problema do meu site levar injetc estar no sistema de votos. gostaria de saber em qual parte exatamente esse erro estar..

                          Código:
                          <a href="?p=downloads" class="download"></a>

		<?php
				$ip = $_SERVER["REMOTE_ADDR"];
				$ipresult = mysql_query("SELECT * FROM `votos` WHERE `ip`='$ip'");

	if(isset($_POST['voto1'])){
				$voto1 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='1'");
		if(isset($_SESSION['logado']) == 1) {
			if(mysql_num_rows($voto1) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.topragnarok.com.br/index.php?s=vote&id=21728'</script>"; exit; }
		} else { header("Location: $website"); }
	}

	if(isset($_POST['voto2'])){
				$voto2 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='2'");
		if(isset($_SESSION['logado']) == 1) {
			if(mysql_num_rows($voto2) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.topragnarok.org/votar/id6481/'</script>"; exit; }
		} else { header("Location: $website"); }
	}

	if(isset($_POST['voto3'])){
				$voto3 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='3'");
		if(isset($_SESSION['logado']) == 1) {
			if(mysql_num_rows($voto3) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.topservers200.com/in.php?id=12166'</script>"; exit; }
		} else { header("Location: $website"); }
	}

	if(isset($_POST['voto4'])){
		if(isset($_SESSION['logado']) == 1) {
				$voto4 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='4'");
			if(mysql_num_rows($voto4) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.gamesites200.com/ragnarok/in.php?id=27290'</script>"; exit; }
		} else { header("Location: $website"); }
	}

				if(isset($_SESSION['logado']) == 1){
					echo "
					<form action='$website' method='POST'><button type='submit' name='voto1' class='votar1'></button></form>
					<form action='$website' method='POST'><button type='submit' name='voto2' class='votar2'></button></form>
					<form action='$website' method='POST'><button type='submit' name='voto3' class='votar3'></button></form>
					<form action='$website' method='POST'><button type='submit' name='voto4' class='votar4'></button></form>";
				} else {
					echo "
					<form action='http://www.topragnarok.com.br/index.php?s=vote&id=21728' method='POST' target='_blank'><button type='submit' class='votar1'></button></form>
					<form action='http://www.topragnarok.org/votar/id6481/' method='POST' target='_blank'><button type='submit' class='votar2'></button></form>
					<form action='http://www.topservers200.com/in.php?id=12166' method='POST' target='_blank'><button type='submit' class='votar3'></button></form>
					<form action='http://www.gamesites200.com/ragnarok/in.php?id=27290' method='POST' target='_blank'><button type='submit' class='votar4'></button></form>";
				}

				if($ativo == '?p=lojapremium' || $ativo == '?p=lojapremium&tipo=Capacetes' || $ativo == '?p=lojapremium&tipo=Armamentos' || $ativo == '?p=lojapremium&tipo=Armaduras' || $ativo == '?p=lojapremium&tipo=Acessorios' || $ativo == '?p=lojapremium&tipo=Consumiveis' || $ativo == '?p=lojapremium&tipo=Pacotes' || $ativo == '?p=lojapremium&tipo=Especiais' || $ativo == '?p=lojapremium&tipo=Pergaminhos' || $ativo == '?p=lojapremium&tipo=Convivencia'){
					echo "<div id='menu-lateral'>
						<a href='?p=lojapremium'><img src='img/database/item/5575.png'>Página Inicial</a>
						<a href='?p=lojapremium&tipo=Capacetes'><img src='img/database/item/2285.png'>Capacetes</a>
						<a href='?p=lojapremium&tipo=Armamentos'><img src='img/database/item/1228.png'>Armamentos</a>
						<a href='?p=lojapremium&tipo=Armaduras'><img src='img/database/item/2424.png'>Armaduras</a>
						<a href='?p=lojapremium&tipo=Acessorios'><img src='img/database/item/2741.png'>Acessórios</a>
						<a href='?p=lojapremium&tipo=Consumiveis'><img src='img/database/item/656.png'>Consumíveis</a>
						<a href='?p=lojapremium&tipo=Pacotes'><img src='img/database/item/12565.png'>Pacotes</a>
						<a href='?p=lojapremium&tipo=Especiais'><img src='img/database/item/12210.png'>Especiais</a>
						<a href='?p=lojapremium&tipo=Pergaminhos'><img src='img/database/item/12970.png'>Pergaminhos</a>
						<a href='?p=lojapremium&tipo=Convivencia'><img src='img/database/item/602.png'>Convivência</a>
					</div>";
				}

				if($ativo == '?p=rankings' || $ativo == '?p=rankings&tipo=zeny' || $ativo == '?p=rankings&tipo=matou' || $ativo == '?p=rankings&tipo=morreu' || $ativo == '?p=rankings&tipo=online'){
					echo "<div id='menu-lateral'>
						<a href='?p=rankings'><img src='img/database/item/12166.png'>Ranking Level</a>
						<a href='?p=rankings&tipo=zeny'><img src='img/database/item/670.png'>Ranking Zeny</a>
						<a href='?p=rankings&tipo=matou'><img src='img/database/item/1186.png'>Ranking Matou</a>
						<a href='?p=rankings&tipo=online'><img src='img/database/item/619.png'>Ranking Online</a>
						<a href='?p=rankings&tipo=morreu'><img src='img/database/item/7420.png'>Ranking Morreu</a>
					</div>";
				}

			?>

			<div class="calendario">
				<?php
				// Rhúlio Victor (rhuliovictor@gmail.com)
				$mes = date("m");
				switch($mes){
					case 1: $mesx = "Janeiro"; break;
					case 2: $mesx = "Fevereiro"; break;
					case 3: $mesx = "Março"; break;
					case 4: $mesx = "Abril"; break;
					case 5: $mesx = "Maio"; break;
					case 6: $mesx = "Junho"; break;
					case 7: $mesx = "Julho"; break;
					case 8: $mesx = "Agosto"; break;
					case 9: $mesx = "Setembro"; break;
					case 10: $mesx = "Outubro"; break;
					case 11: $mesx = "Novembro"; break;
					case 12: $mesx = "Dezembro"; break;
				}
				?>
				<b>Calendário do Mês de <?php echo $mesx; ?></b>
				<u>D</u><u>S</u><u>T</u><u>Q</u><u>Q</u><u>S</u><u>S</u>
				<?php
				// Rhúlio Victor (rhuliovictor@gmail.com)
				$caixinhas = 0; $dia = date("d");
				$diasemana = date("w",mktime(0,0,0,$mes,"01",date("Y")));
				for($i=0;$i<$diasemana;$i++){ echo "<p>&nbsp;</p>"; $caixinhas++; }
				$quntdias = date("d",mktime(0,0,0,($mes+1),0,date("Y")));
				for($i=1;$i<=$quntdias;$i++){
					if($i == $dia){
						echo "<p style=\"color: #FFF\"><strong>{$i}</strong></p>";
					} else {
						echo "<p>{$i}</p>";
					}
					$caixinhas++;
				}
				$resto = 35-$caixinhas;
				for($i=0;$i<$resto;$i++){ echo "<p>&nbsp;</p>"; }
				?>
			</div>
                          • Top

                          Comment

                          • Font Size
                            #14
                            Postado Originalmente por cumbe11 Ver Post
                            Muito obrigado pela juda..

                            um amigo me disse que o principal problema do meu site levar injetc estar no sistema de votos. gostaria de saber em qual parte exatamente esse erro estar..

                            Código:
                            <a href="?p=downloads" class="download"></a>

		<?php
				$ip = $_SERVER["REMOTE_ADDR"];
				$ipresult = mysql_query("SELECT * FROM `votos` WHERE `ip`='$ip'");

	if(isset($_POST['voto1'])){
				$voto1 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='1'");
		if(isset($_SESSION['logado']) == 1) {
			if(mysql_num_rows($voto1) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.topragnarok.com.br/index.php?s=vote&id=21728'</script>"; exit; }
		} else { header("Location: $website"); }
	}

	if(isset($_POST['voto2'])){
				$voto2 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='2'");
		if(isset($_SESSION['logado']) == 1) {
			if(mysql_num_rows($voto2) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.topragnarok.org/votar/id6481/'</script>"; exit; }
		} else { header("Location: $website"); }
	}

	if(isset($_POST['voto3'])){
				$voto3 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='3'");
		if(isset($_SESSION['logado']) == 1) {
			if(mysql_num_rows($voto3) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.topservers200.com/in.php?id=12166'</script>"; exit; }
		} else { header("Location: $website"); }
	}

	if(isset($_POST['voto4'])){
		if(isset($_SESSION['logado']) == 1) {
				$voto4 = mysql_query("SELECT * FROM `votos` WHERE `userid`='$account_id' AND `numero`='4'");
			if(mysql_num_rows($voto4) || mysql_num_rows($ipresult) >= 4){ echo "<script>alert('Você já votou ou atigiu o limite de votos com seu IP.'); location.href='$website'</script>"; exit; } else { mysql_query("UPDATE `login` SET `point`=`point`+'2' WHERE `account_id`='$account_id'"); mysql_query("INSERT INTO `votos` (userid, numero, ip) VALUES ('$account_id', '1', '$ip')"); echo "<script>alert('Você ganhou 2 pontos de voto.'); location.href='http://www.gamesites200.com/ragnarok/in.php?id=27290'</script>"; exit; }
		} else { header("Location: $website"); }
	}

				if(isset($_SESSION['logado']) == 1){
					echo "
					<form action='$website' method='POST'><button type='submit' name='voto1' class='votar1'></button></form>
					<form action='$website' method='POST'><button type='submit' name='voto2' class='votar2'></button></form>
					<form action='$website' method='POST'><button type='submit' name='voto3' class='votar3'></button></form>
					<form action='$website' method='POST'><button type='submit' name='voto4' class='votar4'></button></form>";
				} else {
					echo "
					<form action='http://www.topragnarok.com.br/index.php?s=vote&id=21728' method='POST' target='_blank'><button type='submit' class='votar1'></button></form>
					<form action='http://www.topragnarok.org/votar/id6481/' method='POST' target='_blank'><button type='submit' class='votar2'></button></form>
					<form action='http://www.topservers200.com/in.php?id=12166' method='POST' target='_blank'><button type='submit' class='votar3'></button></form>
					<form action='http://www.gamesites200.com/ragnarok/in.php?id=27290' method='POST' target='_blank'><button type='submit' class='votar4'></button></form>";
				}

				if($ativo == '?p=lojapremium' || $ativo == '?p=lojapremium&tipo=Capacetes' || $ativo == '?p=lojapremium&tipo=Armamentos' || $ativo == '?p=lojapremium&tipo=Armaduras' || $ativo == '?p=lojapremium&tipo=Acessorios' || $ativo == '?p=lojapremium&tipo=Consumiveis' || $ativo == '?p=lojapremium&tipo=Pacotes' || $ativo == '?p=lojapremium&tipo=Especiais' || $ativo == '?p=lojapremium&tipo=Pergaminhos' || $ativo == '?p=lojapremium&tipo=Convivencia'){
					echo "<div id='menu-lateral'>
						<a href='?p=lojapremium'><img src='img/database/item/5575.png'>Página Inicial</a>
						<a href='?p=lojapremium&tipo=Capacetes'><img src='img/database/item/2285.png'>Capacetes</a>
						<a href='?p=lojapremium&tipo=Armamentos'><img src='img/database/item/1228.png'>Armamentos</a>
						<a href='?p=lojapremium&tipo=Armaduras'><img src='img/database/item/2424.png'>Armaduras</a>
						<a href='?p=lojapremium&tipo=Acessorios'><img src='img/database/item/2741.png'>Acessórios</a>
						<a href='?p=lojapremium&tipo=Consumiveis'><img src='img/database/item/656.png'>Consumíveis</a>
						<a href='?p=lojapremium&tipo=Pacotes'><img src='img/database/item/12565.png'>Pacotes</a>
						<a href='?p=lojapremium&tipo=Especiais'><img src='img/database/item/12210.png'>Especiais</a>
						<a href='?p=lojapremium&tipo=Pergaminhos'><img src='img/database/item/12970.png'>Pergaminhos</a>
						<a href='?p=lojapremium&tipo=Convivencia'><img src='img/database/item/602.png'>Convivência</a>
					</div>";
				}

				if($ativo == '?p=rankings' || $ativo == '?p=rankings&tipo=zeny' || $ativo == '?p=rankings&tipo=matou' || $ativo == '?p=rankings&tipo=morreu' || $ativo == '?p=rankings&tipo=online'){
					echo "<div id='menu-lateral'>
						<a href='?p=rankings'><img src='img/database/item/12166.png'>Ranking Level</a>
						<a href='?p=rankings&tipo=zeny'><img src='img/database/item/670.png'>Ranking Zeny</a>
						<a href='?p=rankings&tipo=matou'><img src='img/database/item/1186.png'>Ranking Matou</a>
						<a href='?p=rankings&tipo=online'><img src='img/database/item/619.png'>Ranking Online</a>
						<a href='?p=rankings&tipo=morreu'><img src='img/database/item/7420.png'>Ranking Morreu</a>
					</div>";
				}

			?>

			<div class="calendario">
				<?php
				// Rhúlio Victor (rhuliovictor@gmail.com)
				$mes = date("m");
				switch($mes){
					case 1: $mesx = "Janeiro"; break;
					case 2: $mesx = "Fevereiro"; break;
					case 3: $mesx = "Março"; break;
					case 4: $mesx = "Abril"; break;
					case 5: $mesx = "Maio"; break;
					case 6: $mesx = "Junho"; break;
					case 7: $mesx = "Julho"; break;
					case 8: $mesx = "Agosto"; break;
					case 9: $mesx = "Setembro"; break;
					case 10: $mesx = "Outubro"; break;
					case 11: $mesx = "Novembro"; break;
					case 12: $mesx = "Dezembro"; break;
				}
				?>
				<b>Calendário do Mês de <?php echo $mesx; ?></b>
				<u>D</u><u>S</u><u>T</u><u>Q</u><u>Q</u><u>S</u><u>S</u>
				<?php
				// Rhúlio Victor (rhuliovictor@gmail.com)
				$caixinhas = 0; $dia = date("d");
				$diasemana = date("w",mktime(0,0,0,$mes,"01",date("Y")));
				for($i=0;$i<$diasemana;$i++){ echo "<p>&nbsp;</p>"; $caixinhas++; }
				$quntdias = date("d",mktime(0,0,0,($mes+1),0,date("Y")));
				for($i=1;$i<=$quntdias;$i++){
					if($i == $dia){
						echo "<p style=\"color: #FFF\"><strong>{$i}</strong></p>";
					} else {
						echo "<p>{$i}</p>";
					}
					$caixinhas++;
				}
				$resto = 35-$caixinhas;
				for($i=0;$i<$resto;$i++){ echo "<p>&nbsp;</p>"; }
				?>
			</div>
                            Dando uma olhada rápida, já dá para ver os "mysql_query" que são vulneráveis.

                            Cumbe11, substitua, e acostume-se a não usar, esse jeito mais fácil de fazer que é o "mysql_query" e USE o PDO.
                            Se expressarmos gratidão pelo que temos, teremos mais para expressar gratidão... Agradeça!
                            • Top

                            Comment

                            Anterior template Avançar
                            X
                            Working...
                            X