Оу, я сразу и не увидел, что Вы это дописали к ответу.
Мысли-то я формулировать умею, а вот на "ты" мы не переходили.
Давайте закончим этот флуд с Вашей стороны.
почитал англоязычные ресурсы и нашел следующее объяснение и решение.
Цитата:
Какая это именно версия Ubuntu и это выпуск Ubuntu Server ?
Недавние релизы Ubuntu Server (такие как 10.04) поставляются с AppArmor и MySQL профиль по-умолчанию, мог быть запущен в режиме обеспечения безопасности. Вы можете это проверить, выполнив команду sudo aa-status примерно так:
# sudo aa-status
5 profiles are loaded.
5 profiles are in enforce mode.
/usr/lib/connman/scripts/dhclien t-script
/sbin/dhclient3
/usr/sbin/tcpdump
/usr/lib/NetworkManager/nm-dhcp- client.action
/usr/sbin/mysqld
0 profiles are in complain mode.
1 processes have profiles defined.
1 processes are in enforce mode :
/usr/sbin/mysqld (1089)
0 processes are in complain mode.
Если mysqld включен в режиме безопасности, тогда это вероятно единственная причина отказа в записи. Сообщения также будут записаны в /var/log/messages, когда AppArmor блокирует запись/доступ. Вы можете изменить /etc/apparmor.d/usr.sbin.mysqld и добавить /data/ и /data/* чуть ниже, примерно таким образом:
Всем привет, столкнулся с такой проблемой. Нужно именно таким способом создать файл с данными из таблицы mysql. Все делается на домашнем компьютере, с gnu/linux ubuntu. Выполняю в mysql запрос
Can't create/write to file '/home/user/file' (Errcode: 13)
Понимаю, что он не может записать/создать файл, но права на /user и даже на /home выставлены следующие
Цитата:
drwxrwxrwx 9 root root 4096 июля 24 13:57 home
drwxrwxrwx 9 user user 4096 июля 24 13:57 user
Но это не помогает, mysql работает под пользователем mysql, пробовал для этих папок менять владельца/группу на mysql, все равно не помогает, при этом без проблем файл создается в /tmp, она имеет следующие права
Цитата:
drwxrwxrwt 16 root root 16384 июля 24 15:27 tmp
или если указать относительный путь, то в папке базы данных, по адресу /var/lib/mysql/db тоже файл создается без проблем, а вот если я хочу его сохранить в домашнюю папку пользователя или куда-нибудь в другое место, например в /var/www то не получается, mysql отвечает ошибкой указанной выше, всем папкам я ставил права 777 и назначал пользователя/группу mysql, это не решает проблемы. Кто сталкивался ? может нужно что-то править в my.cnf ? Заранее спасибо, за возможную помощь.
ps ОС Ubuntu 12.10, mysql Ver 14.14 Distrib 5.5.31
PHP Fatal error: Call to undefined function stats_rand_gen_normal() in /home/sda/www/test.loc/battle.php on line 296
Наверно проблема все же в модуле, поскольку если попытаться вызвать несуществующую функцию, то и в браузере отображается сообщение о вызове неопределенной функции, а тут выдает 502.
Может быть кто-нибудь работал с PECL-расширением stats, а именно с функцией stats_rand_gen_normal У меня беда, ну никак она не хочет работать, пробовал передавать на вход функции и float и int, толку ноль, браузер выдает 502 Bad Gateway, для других rand функций из этого расширения тоже самое, а другие функции не связанные с рандомом работают нормально. Пробовал версии расширения 1.0.1/2/3 везде одно и тоже. ОС GNU/Linux Ubuntu 12.04, PHP 5.3.10, работает как FPM/FastCGI. В интернете не могу найти вообще пользовались этим модулем кто-нибудь или нет.
Это что-ж, я как пользователь не имею права позырить историю сообщений в комнате, к которой у меня есть доступ?
Бред же.
Нет конечно, это же чат.
esterio пишет:
Ну я бы сделал так:
Добавил поле - некую метку прочитано ли сообщение
если польователь откривает чат - формируем на ПХП последние скажем 10 сообщений. Отмечаем все непрочитание сообщение как прочитание
тепер при AJAX запросе - отправляем все сообщение в которых метка стоит "непрочитание". И также ставим их проситаими.
как-то так
С таким успехом проще хранить время последнего обращения к серверу или последний id на стороне сервера, тогда никаких проблем не будет, но меня интересует именно просто передача last id на клиент и последующая передача от клиента на сервер, при этом чтобы нельзя было подменой этого самого last id вывести старые сообщения.
Планирую написать чат на php + ajax, под хранилище наверное буду использовать redis. Возник вопрос по поводу того, как извлекать новые сообщения для пользователя. Изначально сразу пришла идея, что клиенту передавать id последнего сообщения, который он потом обратно передает серверу при запросе и сервер соответственно возвращает все сообщения начиная с этого id, но тогда пользователь может подменить id и получить не то, что предполагалось, а те сообщения, которые уже выводились вместе с новыми, а это мне не нужно. Потом думал, что проверять по времени, допустим чат обновляется раз в 15 секунд, тогда показываем только те сообщения, где время сообщения больше чем текущее время - 15 секунд, но тут опять может возникнуть проблема, что у пользователя повис браузер на несколько секунд и соответственно есть риск, что он не получит те сообщения, которые должен был получить. Потом думал, есть вариант чтобы хранить время последнего обращения / id последнего сообщения или что-нибудь другое на стороне сервера в базе или сессии например, но не нравится то, что придется постоянно перезаписывать это значение.
Пока лучший для меня из всех вариантов это передача id последнего сообщения клиенту, который будет послан вместе со следующим запросом к серверу. Но нужно как-то сделать, чтобы клиент не смог бы получить те сообщения, которые уже ему выводились ранее. Может как-то шифровать этот id или что-то еще. Может есть у кого какие идеи или опыт написания такого чата?
Может ли инъекция навредить при передаче данных.
Вот ввёл он в логин скрипт инъекции и отправил.
Обработчик берёт значение этого логина и просто вносит в базу.
Здесь он никак не навредит? Только при выводе информации?
навредит и еще как, сначала проверят проходит ли sql-injection, специально напишут так, чтобы запрос к базе данных получился бы не верным и соответственно получится ошибка, поймут что есть уязвимость и вместе с этим запросом могут отправить еще какие-нибудь или в этот допишут что-нибудь интересное, зависит от ситуаций и как написан сам запрос. поэтому экранировать нужно всегда. А вот в случае с xss, то тут да, навредить могут только при выводе информации на страницу, но опять же смотри, лучше один раз на этапе записи данных в базу позаботится о преобразовании спец. символов в html сущности при помощи функции htmlspecialchars() и быть уверенным, чем потом быть параноиком и при каждом выводе данных из базы обрабатывать их этой функцией. (Добавление)
Ammiak пишет:
Цитата:
Однако вполне можно поэкспериментировать с вводом длинных значений в ваши поля, ограничений на это я не нашел.
Ограничение на длину пароля я делал, на стороне клиента через js. Длину логина специально не ограничивал, должна ограничиваться длиной самого инпута (maxlength="36"), в первом посте не указал
нужно все равно проверять на стороне сервера, js при желании смогут отключить в браузере или вообще возьмут данные тебе и отправят при помощи поддельной html-формы. ну или если лень в скрипте проверять, можно в мускуле ограничить, просто задать длину полю и всё, больше этого все равно как не старайся мускуль записывать откажется.
К тому, что так вообще не делают. Что оно работает - это понятно, но так не делают.
Кстати, у вас спокойно пройдёт SQL инъекция. Всё, что идёт из внешних источников (в первую очередь $_GET, $_POST, куки) в базу экранируйте через mysqli_real_escape_string / mysql_real_escape_string (в зависимости от того, какую используете библиотеку)
спасибо. На счет sql-injection в курсе, как защититься тоже, написал пользовательскую функцию простенькую от защиты sql-injection, просто буду перед запросом все переменные ей обрабатывать, пока не успел просто сделать этого.
Мои функции находятся в классе, я прежде чем записать новую строку в Базу Данных, хочу проверить её своей функцией, которая проверяет корректно ли заполнено поле.
Если вы используете класс для инкапсуляции собственного соединения с БД то желательно сохранять все переменные внутни него - в вашем случае получается что вы испоьзуете внешнюю переменную к которой обращаетесь в оператором global в то время как для каждого экземпляра класса доступ должен быть через $this-объект
да блин причем тут глобал вообще. я пишу о том, что мне нужно вызвать как-то функцию проверки(#1) в функции добавления в базу данных новой строки(#2) и все! больше ничего, все остальное у меня работает нормально. И я писал что функции находятся в одном классе, так же говорил что в функции add_to_mysql я пробовал вызывать функцию check_add_to_mysql, вот таким образом $this->check_add_to_mysql($login) ; именно при помощи ключевого слова $this, потому что еще раз говорю обе функции находятся в одном классе.
Чтобы потом когда я создам объект и обращусь к функции вот так
у меня в этой функции чтобы сработала функция проверки (check_add_to_mysql) и вывела мне переменную $error на экран, точнее её содержимое, а если все условия пройдутся нормально, то запись добавлялось в базу данных. А сейчас у меня не хочет работать функция проверки в функции добавления, когда я вызываю её $this->check_add_to_mysql($login) ; вот так, она не срабатывает и данные сразу добавляются в базу, не знаю уже как объяснить.
global $db это сделано для того, чтобы я мог обратиться к объекту $db и работать с его функциями, например с sql_query. это у меня все работает прекрасно. (Добавление)
все сам догнал, всего-то надо было в функции добавления написать вот так:
Мне нужно использовать первую функцию во второй функции
В языке PHP все пользовательские функции не являются объектами первого рода и всегда сохраняются в глобальной области видимости и являются независимыми от местоположения их определения - тем не менее функции в общем виде могут находиться в некотором пространстве имен определяемым именем класса и операцией расширения области видимости При этом несмотря на то что пользовательские функции являются инвариантными относительно расположения их описания - тем не менее добавление очередной функции в общую таблицу присходит только после явного выполнения кода в которой находится ее определение - таким образрм одна функция может быть определена внутри другой но это означает лишь ее отложенное добавление к общей таблице функций
Для вызова одной пользовательской функции внутри другой необходимо только удостовериться что в указанный момент запрашиваемая функция уже инициализирована - и ее жальшейший выхов происходит только по имени
такое чувство что какой-то абзац из книги, мне не это вовсе нужно, а решение проблемы, почему не работает. Мои функции находятся в классе, я прежде чем записать новую строку в Базу Данных, хочу проверить её своей функцией, которая проверяет корректно ли заполнено поле.
$sql="INSERT INTO `users` (`borncity`,`login`,`pass`,`email`,`realname`,`borndate`,`sex`,`ip`,`shadow`,`refer`) VALUES('Авалон','$login','".md5($_POST['password'])."','{$_POST['email']}','{$_POST['name']}','1','{$_POST['sex']}','127.0.0.1','1','1')";
$result=$db->sql_query($sql);
$good="Все прошло успешно!";
return$good;
}
Мне нужно использовать первую функцию во второй функции, т.е. когда я вызываю в нужно месте функцию add_to_mysql(параметр) мне нужно чтобы внутри неё выполнялась функция check_add_to_mysql(параметр), возращала $error и эта переменная отображалась бы на экране.
$sql="INSERT INTO `users` (`borncity`,`login`,`pass`,`email`,`realname`,`borndate`,`sex`,`ip`,`shadow`,`refer`) VALUES('Авалон','$login','".md5($_POST['password'])."','{$_POST['email']}','{$_POST['name']}','1','{$_POST['sex']}','127.0.0.1','1','1')";
$result=$db->sql_query($sql);
$good="Все прошло успешно!";
return$good;
}
}
то в базу уже не записывает, видимо все-таки что-то возращается, но и на экран тоже ничего не выводится при вызове функции
Главная
Помощь
Поиск
Пользователи
Найдено сообщений: 13
