Hallo liebes Forum,
Dank einiger hilfreicher Themen im Forum konnte ich mit meinen PHP Anfängen mein Script wie gewünscht umsetzen.
Für mich stellt sich als "Neuling" nur die Frage ob der Code auch sicher ist, oder ob ich noch etwas beachten muss.
Ich habe aus einem anderen Beitrag herausgelesen, dass die Datensätze mit mysql_real_escape_string geprüft werden sollen - habe ich dies richtig angewandt?
Es handelt sich um ein gewöhnliches Formular, die Daten werden in eine DB geschrieben und nach Erfolg eine Email verschickt.
Ist es sicherer die DB Zugangsdaten über eine extra Datei einzubinden, oder sie wie im Code zu sehen einfach so mit einzubauen.
Welche Rechte sollten die Dateien haben= Ich habe sie jetzt auf 644
Den Code hab ich der Übersicht halber etwas abgespeckt.
Vielen Dank im Voraus!
Also es funktioniert alles einwandfrei - möchte nur wissen ob der Code auch Sicherheitstechnisch in Ordnung ist oder ob man noch etwas verbessern könnte
Dank einiger hilfreicher Themen im Forum konnte ich mit meinen PHP Anfängen mein Script wie gewünscht umsetzen.
Für mich stellt sich als "Neuling" nur die Frage ob der Code auch sicher ist, oder ob ich noch etwas beachten muss.
Ich habe aus einem anderen Beitrag herausgelesen, dass die Datensätze mit mysql_real_escape_string geprüft werden sollen - habe ich dies richtig angewandt?
Es handelt sich um ein gewöhnliches Formular, die Daten werden in eine DB geschrieben und nach Erfolg eine Email verschickt.
Ist es sicherer die DB Zugangsdaten über eine extra Datei einzubinden, oder sie wie im Code zu sehen einfach so mit einzubauen.
Welche Rechte sollten die Dateien haben= Ich habe sie jetzt auf 644
Den Code hab ich der Übersicht halber etwas abgespeckt.
Vielen Dank im Voraus!
PHP-Code:
<?php ob_start(); ?>
<?php include ('formular.php'); ?>
<?php
$fehler = 0;
$fehlertext = "";
if (isset($_POST["speichern"])) {
if (!isset($_POST['firma']) Or Trim($_POST['firma']) == "") {
$fehler = 1;
$fehlertext = "<div id='errmess'>Bitte geben Sie Ihren Firmennamen an.</div>";
}
[...]
if ($fehler == 0) {
$sql = " INSERT INTO meldungen ";
$sql .= " SET ";
$sql .= " Firma ='". mysql_real_escape_string($_POST['firma']) ."', ";
[...]
//Zugriff auf die MySQL Datenbank:
define ( 'MYSQL_HOST', 'localhost' );
define ( 'MYSQL_BENUTZER', '***' );
define ( 'MYSQL_KENNWORT', '***' );
define ( 'MYSQL_DATENBANK', '***' );
$db_link = @mysql_connect (MYSQL_HOST, MYSQL_BENUTZER, MYSQL_KENNWORT);
if ( ! $db_link ){
die('keine Verbindung zur Zeit möglich ');
}
$db_sel = mysql_select_db( MYSQL_DATENBANK ) or die("Auswahl der Datenbank fehlgeschlagen");
$db_erg = mysql_query( $sql );
if ( ! $db_erg ){
die('Ungültige Abfrage: ' . mysql_error());
}
if($sql && mysql_affected_rows() > 0){
$firma = $_POST['firma'];
[...]
$emailc = "Meine Nachricht";
$empfanger = "info@test.de";
$val = mail("$empfanger", "Anmeldung", "$emailc", "From: $email");
$kundennachricht ="Nachricht für Absender";
$val2 = mail("$email", "Ihre Anmeldung", "$kundennachricht", "From: $empfanger");
header ("Location: ./danke.php");
exit;
ob_end_flush();
}
}
else
echo $fehlertext;
}
?>
Kommentar