Форум MySQL

Человек авторизуется и попадает на страницу с загруженными данными из своей собственной таблицы.
Пример:

<? $query = "SELECT * FROM $_SESSION['name']";     $cat = mysql_query($query);     if (!$cat) exit("Ошибка!"); ?>

Ой ёй... Безопасно то оно безопасно, если в сессию правильно записать, только не слишком ли расточительно таблицу на каждого юзера? Как говориться съесть то он съесть... только кто ж ему дасть?

Что посоветуете?

В зависимости от того, какие цели Вы преследуете. Обычно достаточно одной учетной записи, то есть строки в таблице, в которую записать имя юзера и все его данные.

Безопасно, говорите?
А потом придет bad boy и начнет придумывать при регистрации имя вроде

users union select u.password as name, u.* from users u

никакая часть текста sql-кода не должна в него попадать без проверки на соответствие формату и области допустимых значений.

Уважаемый господин Тrianon. У Вас плохо прошел праздник, или я лично чем то Вам не угодил? Вы в который раз пытаетесь приписать мне ошибки, которых я не совершал. Прочитайте внимательно мой ответ:
>если в сессию правильно записать.
Как правильно записать, я не стал расписывать ввиду того, что это не имеет никакого смысла в данном контексте.

Trianon верно сделал замечание. Понятие "правильно записать в сессию", вероятно, известно лишь Вам. Если Вы не раскрываете смысл понятий, которые сами вводите, то Ваши сообщения вообще не имеют смысла.

Хорошо, я учту замечание. Но суть моего ответа сводилась к тому, что этого делать вообще не нужно. И суть до автора дошла. Если бы встал вопрос о том, что это действительно необходимо, тогда стоило бы продолжить, и раскрыть смысл понятий. И пришлось бы раскрывать не только понятия правильной обработки и проверки на соответствие, но так же понятия запросов MySQL, структуры таблиц, принципов работы сессии и вообще всего мироздания.

Ваша ирония в данной концепции дисозеируется с девольвацией имоций относительно данного локального индивидума. Думаю более респектабельно принять поражение )
PS. Я ни на кого не наезжаю!

Ни малейшего намёка на иронию. Такое было уже неоднократно. Начиналось всё довольно безобидно, потом приходилось разбирать по полочкам всё, вплоть до взаимодействия клиент-сервер. В данном случае было бы не совсем верным на мой взгляд пускаться в пространные рассуждения по поводу корректности производимой записи, так как данный подход в корне не верный. Я постарался сделать это просто и доходчиво. О каком Вы поражении пишете? Я ни с кем не воевал, что бы побеждать или проигрывать. Замечание учёл, постараюсь максимально извлечь из него пользу... И какого именно локального индивидума Вы имеете ввиду? Если автора, то то лучше спросить у него, девальвировал я его эмоции или вызвал стойкую ассоциацию...

Николай!
Нет.
Уважаемый мною куда более многих других на этом форуме, Николай!
Успокойтесь пожалуйста.
Я не пытался приписать Вам чужие ошибки.
Собственно, замечание мое относилось к слову "безопасно".
И у меня замечательно прошел праздник. Надеюсь, у Вас тоже.

Изменил структуру таблиц теперь одна таблица..

<?  $query = "SELECT * FROM users WHERE name = $_SESSION['name']";      $cat = mysql_query($query);      if (!$cat) exit("Ошибка!");  ?>

Но вопрос остается, безопасно ли это и как правильно записать в сессию, чтоб было безопасно?

безопасным будет имя таблицы в сессии не хранить.
Точнее хранение имени таблицы в переменной сессии, которая напрямую определяется желаниями пользователя, будет являться SQL-уязвимостью.

Название попадает в сессию, только после авторизации с вводом пароля..

Вернее это уже не название таблицы, а элемент условия поиска из таблицы user..

Тут вроде бы про имя таблицы нет уже... Записать можно просто , а обработать при запросе, или сразу записать обработанную переменную. В данном случае строковые переменные, то же name допустим нужно обработать функцией серии mysql_escape_string() а числовые (id к примеру) привести в соответствие функцией intval(). Это поможет избежать инъекций. Есть еще XSS пакости, про них отдельно почитайте.

Да, и в апострофы нужно переменную:

<? "....WHERE name = '".$_SESSION['name']."'....."

Проверяю так:

$_SESSION['name'] = mysql_escape_string($_SESSION['name']);

Не забывайте про магические кавычки. Есть такая кака, не со зла конечно сделана, но портит изрядно крови. Тут на форуме много про это есть.

A XXS инъекция насколько я знаю проводится через окно ввода данных (если я не ошибаюсь), А в данном случае авторизация проходит с вводом пароля, да и при авторизации там стоит защита..

Спасибо, об этом тоже позаботился.

>A XXS инъекция насколько я знаю проводится через окно ввода данных
Не только. Вот попробуйте вместо имени юзера ввести вот это:

<iframe width='400' height='400' src='http://www.ruporno.org/'></iframe>

Если всё везде правильно обработано, будет такое имя. А если нет..

Храните идентификатор пользователя (id). По нему и стоит выбирать что-то.

А прежде изучите как оформляются строки в SQL-запросах. Всё спец. символы экранируются и после строка берётся в кавычки/апострофы.

Спасибо, я знаю. Просто наспех писал..

Пользователь заходит на сайт, авторизовывается и переходит на
www.domen.ru/user/user.php?=1

больше ничего не заполняет.

При авторизации использую пример из книги PHP практика создания web сайтов, так что там надежно..

> При авторизации использую пример из книги PHP практика создания web сайтов, так что там надежно
Ой ли. Вполне может быть и нет.

Может и нет, но создатели этого сайта утверждают что их код надежный..