1. если вы выкладываете коды - не надо вырезать основное. в проверке я например не заметил ни обработку, не саму работу с полученными данными. тоже самое в форме отправки - как называются поля - не известно.
2. что вы пробовали сделать чтобы выловить ошибку?
3. что выдает в файле anketa.php (прям в начале) фраза print_r($_POST) ? вы вообще уверены что у вас данные посылаются и вы их нормально получаете и обрабатываете?
movEAX пишет:
Почему-то в голову приходит только зловещее register globals
откуда такие мысли? (Добавление)
п.с.
будьте вежливы - пишите нормально сообщение на форуме..
не надо загонять основную часть сообщения (вопрос) в тему.
я темы сообщений например вообще почти не читаю.. только вот в кривых темах приходится.
Честно говоря с недавних пор тоже начал волновать вопрос по поводу инъекций. С GET-числовыми запросами у мну никаких проблем нет, а вот со страницей регистрации очень опасаюсь. Кто нибудь скажет, достаточно ли обрабатывать данные с помощью mysql_real_escape_string?
читайте мой пост выше. если не поможет - можно еще раз... если уж и снова не поможет - поищите еще похожие темы... их было много.
Phantik пишет:
Еще не лишним будет ограничить пользователя, под которым конектишься к базе, минимально необходимым набором прав.
права, как таковые влияют на функционал. напрямую доступ к базе я нигде не делаю например... глупо и опасно имхо
может попробуете и сами ее чтото нормально сделать?
например ошибки проверить? в конце концов - это нужно всеже вам, и если вам накидали для примера код - это не факт что он будет точно работать - обычно их пишут сразу же в теме просто чтобы показать примерный алгоритм..
в данном примере прорущен символ:
есть щас:
$str.= '<tr>'
нужно:
$str.= '<tr>';
нельзя на такие вещи "не отвлекаться"....
иначе наберете косяков много.
все данные, которые вы получаете "из вне" - через куки, GET или POST надо проверять. иначе будут проблемы с верностью работы сайта или данными..
как последняя стадия - нужно проверять все функцией mysql_real_escape_string или аналогом mysql_escape_string
а перед этим ваши проверки должны быть, в зависимости от того, какие данные вы ждете от пользователя... но проверять нужно все получаемые данные!!!
например проверка на число, строку (мыло, логины) или тексты...
размеры (скока символов) и проверка не недопустимые символы..
я видел например страницу, в которой не было кода после <body> вообще
... просто там пробелов столько наставили, что все содержимое было далеко в низу =)
если скрипты находятся на одном сайте - то можно на обоих передать через сессии ($_SESSION). только не забывайте запускать сессию в каждом из скриптов =)
а насчет голосования, нехрен заставлять юзеров делать то что им ненадо, заставлять делать голосования в которых хз что писать,это глупо
ну вот вам и сказали - поучитесь в школе, может и нормально темы сможете даже создавать...
на форуме можно создать просто тему
а можно тему с опросом.
откуда руки ростут у вас объяснять не нужно?
Посетила меня одна "извращенская" мысль, с помощью PHP, при генерации страницы ты шифруешь все что между тегами BODY алгоритмом ГОСТ 28147-89, к примеру. Пишешь декодировщик, но уже на JS. Инклудишь его в HEAD. И конечно же не забываем про его обфускацию.