greska ti je u qery ako si napisao bas tako kao sto pise

"INSERT INTO studenti (rb, username, password, lastname, firstname, email, prosek, stat1, stat2, metod, racunar, spss, termin1, termin2) VALUES('', '$username', '$password', '$lastname', '$firstname', '$email', '$prosek', '$stat1', '$stat2', '$metod', '$racunar', '$spss', '$termin1', '$termin2')";
Probaj da promenljive stavis ovako '",$password."' i svaku tako ako ti nebude i dalje radilo javi pa cemo naci bug.
Poz

I jos nesto, kako da generisem varijablu $random_password koja bi se sastojala od npr. 8 znakova - slucajna kombinacija slova a-z i brojeva 0-9.

Hvala!

Jesi ispravio prethodnu gresku?
ako jesi za to koristi f-ju cript ili cyript ne mogu sada da gledam u knjizi ako ti je bas hitno javi pa cu ti poslati resenje.

Nisam ispravila, ali cini mi se da je ranije radilo i bez toga. Mogla bih da ih sve pohvatam sa:
$username = $_POST['username'];
ali to bas i nije prakticno resenje.

$crypted_password=crypt($password,$random_password);
$random_password je bilo koja sifra a f-ja crypt ce ti sakriti tvoj password!
i onda $crypted_password unosis u bazu.

Ne razuem te ,da li ti sada radi upis u bazu?

Pa radi mi u principu upis u bazu, ali mi ne sacuva varijable sa prethodne stranice sem ako ne ukucam malopre navedeno.
A nisam mislila na kriptovanje postojece lozinke, vec da se generise neki niz slucajno dugacak npr. 8 karaktera.

jesi pokusala da upises varijeble kako sam ti rekao,ako jesi onda verovatno imas problem sa prenosom promenljivih.Ili te ja nisamdobro razumeo.

Da, problem je u prenosu varijabli, ne u samom upisu jer ako stavim ovo:

$username = $_POST['username'];
$password = $_POST['password'];
$lastname = $_POST['lastname'];
$firstname = $_POST['firstname'];
$prosek = $_POST['prosek'];
$stat1 = $_POST['stat1'];
$stat2 = $_POST['stat2'];
$metod = $_POST['metod'];
$racunar = $_POST['racunar'];
$spss = $_POST['spss'];
$termin1 = $_POST['termin1'];
$termin2 = $_POST['termin2'];

upise se sve.

Zamisli koja slucajnost i ja imam isti problem.I sada se kajem zasto nisam radio tako kao sto si ti napisala jer moram da prepravljam sve skripte koje imam zbog toga.
ovako:
Moj savet ti je da svaku promenljivu koju unosis ili koristis uvek tako pises sa $_POST ili vec $_GET jer na vecini servera iskljucena je opcija register_globals (kao sto je na mom prokletom serveru),a ako ti ipak mislis da te to smara samo u php.ini fajlu pronadji tu liniju register_globals i podesi na ON i resices sve tvoje probleme.
Poz.
Ps.ako imas jos nekih problema javi se,posto znam kako je kada se cimas oko glupog koda.

Da, ali nekad imam i po 300 stavki, a ranije je radilo i bez toga, bar mislim.

_{[Ovu poruku je menjao Psyche dana 06.10.2006. u 21:59 GMT+1]}

Ja imam 3300 i sve moram da promenim.Mislim da sigurni nije radilo .Kazem ti opet na tebi je da odlucis ,mozes i da ukljucis register_globals(),ali...
Najbolje da ostavis ,a problem ce se sam resiti... :-)
to su meni rekli kad asam hteo da poludim zbog skripti:-)

ovo se mnogo elegantnije radi sa samo extract($_POST);
nema milion redova kuckaranja... :)

E, pa hvala :)

Evo nesto na brzinu sa Password :)




Poz
sale

Rešićeš probleme prenosa promenljivih, ali ćeš sebi na vrat navući problem deface-ovanog sajta (vrlo verovatno).



Ovo radi isto kao i register_globals kad je on, te nosi iste posledice po sigurnost sajta. Pogledajte http://php.net/register_globals i primere autorizacije korisnika na tom linku. Mala greškica i ode sajt. Bolje je ipak sa $var = $_POST['var']; za svaku promenljivu!

Aha.
Registred globals nisu bile ukljucene pa zato to nije islo.
Mozes da probas i sa:
mysql_query("INSERT INTO tabela VALUES (".$_POST['rb'].",'".$_POST['username']."');"); i slicno.
Ovo je jednostavnije jer te variable vise u skripti neces koristiti, a isto je.
Naravno, registred globals mogu da predstavljaju veliki sigurnosni problem, pa ti ne preporucujem da ih stavis ON.

koji su najcesci slucajevi da se sajt unisti,mislim koji su najcesci problemi kada je register_globals=on.
Psto je na mom serveru sada to ukljuceno.

Dao sam ti link, ali evo ti opet:
http://php.net/register_globals

Tamo imaš školski primer greške u programiranju gde se samo sa browserom može preuzeti kontrola na sajtu.

edit:



Pa ovo i nije baš dobro, preporučljivo je escape-ovati stringove pre ubacivanja u query. Zato lepo $username = addslashes($_POST['username']);

Takođe, ako radite neku internu aplikaciju koja neće biti dostupna širokom auditorijumu, preglednije je da ovako radite:

@Nemanja Avramovic - hvala za ono sa extract ...

Nema na čemu

$clean = array();
foreach ( $_POST as $k => $v ) $clean[$k] = mysql_real_escape_string( ( get_magic_quotes_gpc() ? stripslashes($v) : $v ) );

Ako koristis $clean umesto $_POST, mogu ti pljunu pod prozor jer tako sve cistis pre unosa u bazu i nema mesta gresci. U tom slucaju jaci si od sudbine (ne moze ti niko nista, tj.) ;-)

Da, to pomaže kod unosa u bazu, ali ne i kod preuzimanja administracije sajta ako je sistem za autorizaciju loše napisan.

Naravno JaHvrame, znas na sta sam mislio. :-)

Dakle: ovo je napomena za odbranu od tzv. SQL injections-a, ne za autentikaciju!