Hasło: admin

baza ->baza_cms

-- phpMyAdmin SQL Dump
-- version 5.1.1
-- https://www.phpmyadmin.net/
--
-- Host: 127.0.0.1
-- Czas generowania: 01 Mar 2022, 12:53
-- Wersja serwera: 10.4.21-MariaDB
-- Wersja PHP: 8.0.10
SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";
START TRANSACTION;
SET time_zone = "+00:00";
/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8mb4 */;
--
-- Baza danych: `baza_cms`
--
-- --------------------------------------------------------
--
-- Struktura tabeli dla tabeli `users`
--
CREATE TABLE `users` (
  `id` int(6) NOT NULL,
  `login` varchar(255) NOT NULL,
  `pass` varchar(255) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
--
-- Zrzut danych tabeli `users`
--
INSERT INTO `users` (`id`, `login`, `pass`) VALUES
(1, 'admin', '$2y$10$Y1U9pwLzteMGAwvMHMXGGe.h3zMiTR2lKqYAzBKSQtytThGHZJASW');
--
-- Indeksy dla zrzutów tabel
--
--
-- Indeksy dla tabeli `users`
--
ALTER TABLE `users`
  ADD PRIMARY KEY (`id`);
--
-- AUTO_INCREMENT dla zrzuconych tabel
--
--
-- AUTO_INCREMENT dla tabeli `users`
--
ALTER TABLE `users`
  MODIFY `id` int(6) NOT NULL AUTO_INCREMENT, AUTO_INCREMENT=2;
COMMIT;
/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;

conn_data.php

<?php
$serwer='localhost'; //127.0.0.1  
$user='root';
$pass='';
$baza='baza_cms';
//łączenie z bazą
mysqli_report(MYSQLI_REPORT_OFF);
$db = @new mysqli($serwer, $user, $pass, $baza); //podejście obiektowe - korzystamy z klasy PHP o nazwie mysqli

<?php
$db->close(); //zamykamy połączenie
?>

index.php

<?php
#login:admin
#hasło:admin

session_start();

include_once('conn_data.php');
//sprawdzamy czy się łączy w podejściu obiektowym
if ($db->connect_error) {
    die('Błąd połączenia: ' . $db->connect_error);
} else {
    if (!isset($_POST['logowanie'])) {echo 'zaloguj się<br>'; $msg='';}
    else
    {
        $msg='';
        $login=htmlspecialchars(trim($_POST['login']));
        $haslo=htmlspecialchars(trim($_POST['haslo']));
        if (empty($login) || empty($haslo))
        {
            $msg='Brak loginu lub hasła!';
        }
        else
        {
            $sql="SELECT * FROM `users` WHERE `login` = ?";
            $stmt = $db->prepare($sql);    
            $stmt->bind_param("s", $login);
            $stmt->execute();
            $wynik = $stmt->get_result();
            $ile_znaleziono = $wynik->num_rows;
           
            if ($ile_znaleziono>0) {
                $kolumna=$wynik->fetch_array();
                if(password_verify($haslo,$kolumna['pass'])){
                    $_SESSION['msg']='Jesteś zalogowany';
                    $_SESSION['witaj']=$login;
                    header("location: main.php");
                }  
                else { $msg='Podałeś błedne hasło!';}          
            }
            else { $msg='Nie ma w bazie użytkownika o takim loginie!';}        
        }      
    }  
}    
include_once('conn_close.php');
?>

<!DOCTYPE html>
<html>
<head>
    <title>Moja strona</title>
    <meta charset="UTF-8">  
</head>
<body>  
    <form method="post" action="">
        <span style="color: red;"><?=$msg;?></span>    
        <input type="text" name="login">
        <input type="password" name="haslo">
        <button type="submit" name="logowanie">Loguj
    </form>
</body>
</html>

main.php

<?php
session_start();
if($_SESSION['witaj']){
    echo 'Witaj: '.$_SESSION['witaj'].'<br>';
    if (isset($_GET['wyloguj'])) {
        session_destroy();
        header("location: index.php");
    }
    echo "<a href=\"?wyloguj\">wyloguj</a>";
}else{
    header("location: index.php");
}

Artykuł 20. PHP – logowanie pochodzi z serwisu Kama Kaczmarek.

Przypominam, że w poniższym kodzie nie dokonaliśmy jeszcze zabezpieczeń odbieranych z formularza danych.

Należy dokonać dodatkowo walidacji odbieranych danych, która uchroni nas przed atakami SQL Injection i XSS, a zapytania do bazy najlepiej opracowywać z wykorzystaniem Prepared Statements, o których trochę niżej.

Do istniejącego formularza dodajemy 2 nowe inputy: Dodai i Usuń, następnie odbieramy dane i dokonujemy na ich podstawie zmian w bazie. 

<?php
//ustawiamy dane do bazy
$serwer = "localhost";
$user = "root";
$pass = "";
$base = "operacje_db";

mysqli_report(MYSQLI_REPORT_OFF);$db = @new mysqli($serwer, $user, $pass, $base);

if ($db->connect_error) {
    die('Błąd połączenia z bazą danych: ' . $db->connect_error);
} else {
    echo "Połączenie nawiązano<br>";
    if (isset($_POST['przycisk'])) { //sprawdzamy czy kliknięto wyszukaj
        $sql = "SELECT * FROM `test` WHERE 1";
        if (!empty($_POST['imie'])) $sql .= " && imie='{$_POST['imie']}'";
        if (!empty($_POST['nazwisko'])) $sql .= " && nazwisko='{$_POST['nazwisko']}'";
        echo $sql . "<br>";
        $wynik = $db->query($sql);
        foreach ($wynik as $row) {
            echo "Witaj {$row['imie']} {$row['nazwisko']}<br>";
        }
    } elseif (isset($_POST['add'])) { //sprawdzamy czy kliknięto dodaj
        if (!empty($_POST['imie']) && !empty($_POST['nazwisko'])) {
            $sql = "INSERT INTO `test`(`imie`, `nazwisko`) VALUES ('{$_POST['imie']}','{$_POST['nazwisko']}')";
            $wynik = $db->query($sql);
            //echo $db->affected_rows . ' ' . $db->insert_id;
            $ar = $db->affected_rows;
            if ($ar != 0) echo "Dodano {$_POST['imie']} {$_POST['nazwisko']}";
        } else {
            echo "Uzupełnij pola.";
        }
    } elseif (isset($_POST['del'])) { //sprawdzamy czy kliknięto usuń
        if (!empty($_POST['imie']) && !empty($_POST['nazwisko'])) {
            $sql = "DELETE FROM `test` WHERE imie='{$_POST['imie']}' && nazwisko='{$_POST['nazwisko']}'";
            $wynik = $db->query($sql);
            //echo $db->affected_rows . ' ' . $db->insert_id;
            $ar = $db->affected_rows;
            if ($ar != 0) echo "Usunięto rekordy w ilości: $ar o wartościach: {$_POST['imie']} {$_POST['nazwisko']}";
        } else {
            echo "Uzupełnij pola.";
        }
    } else {
        echo "Wykonaj akcję.";
    }
}

$db->close();
?>

<form action="" method="post">
    Imię: <input type="text" name="imie">
    Nazwisko: <input type="text" name="nazwisko">
    <input type="submit" value="Wyszukaj" name="przycisk">
    <input type="submit" value="Dodaj" name="add">
    <input type="submit" value="Usuń" name="del">
</form>

Wykorzystanie „bindowania”, czyli parameterized prepared statements – bezpieczeństwo przede wszystkim

Sparametryzowane zapytania pozwalają na wykonywanie kodu SQL zabezpieczonego przed SQL Injection.

Działa to w ten sposób, że najpierw przygotowujemy zapytanie, czyli do bazy wysyłany jest szablon kwerendy, w którym zamiast zmiennych podajemy znaki zapytania – „?”. Na tej podstawie serwer inicjuje swoje wewnętrzne zasoby do późniejszego wykorzystania.

W kolejnym kroku „bindujemy”, czyli wiązemy ze sobą wartości parametrów (każdemu znakowi zapytania przypisujemy zmienną) i wysyłamy je na serwer.

Na koniec zamykamy parametryzację, by zwolnić zasoby.

Ale dlaczego to takie bezpieczne?

Zbindowane zmienne są wysyłane do serwera niezależnie od zapytania, serwer używa tych wartości tylko w momencie wykonania, po przeanalizowaniu szablonu instrukcji. Parametry nigdy nie są bezpośrednio podstawiane w ciągu zapytania. Należy dostarczyć do serwera wskazówkę dotyczącą typu zmiennej powiązanej, aby utworzyć odpowiednią konwersję.

Przykład podstawowego użycia prepare statements

<?php
//ustawiamy dane do bazy
$serwer = 'localhost'; //lub 127.0.0.1 - to jest nazwa serwera  
$user = 'root'; //użytkownik bazy danych
$pass = ''; //hasło do bazy
$baza = 'operacje_db'; //nazwa bazy

//łączenie z bazą
mysqli_report(MYSQLI_REPORT_OFF);$db = @new mysqli($serwer, $user, $pass, $baza); //podejście obiektowe - korzystamy z klasy PHP o nazwie mysqli

//sprawdzamy czy się łączy w podejściu obiektowym
if ($db->connect_error) {
    die('Błąd połączenia: ' . $db->connect_error);
} else {
    echo 'Połączenie nawiązano<br />';
    if (isset($_POST['add'])) {
        $imie = !empty($_POST['imie']) ? $_POST['imie'] : 'nobody';
        $nazwisko = !empty($_POST['nazwisko']) ? $_POST['nazwisko'] : 'nobody';
        //przygotowujemy zapytanie
        $sql = "INSERT INTO `test`(`imie`, `nazwisko`) VALUES (?, ?)";
        $stmt = $db->prepare($sql);
        //bindujemy parametry
        $stmt->bind_param("ss", $imie, $nazwisko); //ss - oznacza string string
        //wykonujemy zapytanie
        $stmt->execute();
        echo "Dodano do bazy: $imie $nazwisko";
    } else {
        echo "Prześlij formularz.";
    }
}

$db->close(); //zamykamy połączenie
?>

<form action="" method="POST">
    Imię: <input type="text" name="imie">
    Nazwisko: <input type="text" name="nazwisko">
    <input type="submit" name="add" value="Dodaj">
</form>

Przykład

<?php
//ustawiamy dane do bazy
$serwer = 'localhost'; //lub 127.0.0.1 - to jest nazwa serwera  
$user = 'root'; //użytkownik bazy danych
$pass = ''; //hasło do bazy
$baza = 'operacje_db'; //nazwa bazy

//łączenie z bazą
mysqli_report(MYSQLI_REPORT_OFF);$db = @new mysqli($serwer, $user, $pass, $baza); //podejście obiektowe - korzystamy z klasy PHP o nazwie mysqli

//sprawdzamy czy się łączy w podejściu obiektowym
if ($db->connect_error) {
    die('Błąd połączenia: ' . $db->connect_error);
} else {
    $imie = !empty($_POST['imie']) ? htmlspecialchars(trim($_POST['imie'])) : false;
    $nazwisko = !empty($_POST['nazwisko']) ? htmlspecialchars(trim($_POST['nazwisko'])) : false;
    if (isset($_POST['add'])) {
        if ($imie && $nazwisko) {
            //----------------------------------------------------------------
            //przygotowujemy zapytanie
            $sql = "INSERT INTO `test`(`imie`, `nazwisko`) VALUES (?, ?)";
            $stmt = $db->prepare($sql);
            //bindujemy parametry
            $stmt->bind_param("ss", $imie, $nazwisko); //ss - oznacza string string, drugi parametr musi być zmienną (nie można wpisać bezpośrednio wartości)

            //wykonujemy zapytanie
            $stmt->execute();
            //----------------------------------------------------------------
            /*
            //tak możemy zobaczyć co jest w środku $stmt
            echo '<pre>';
            print_r($stmt);
            echo '</pre>';
            */

            if ($stmt->affected_rows != 0) echo "Dodano do bazy: $imie $nazwisko";
            else echo "Nie dodano wiersza";
        } else {
            echo "Uzupełnij wszystkie pola";
        }
    } elseif (isset($_POST['search'])) { //w zależności od uzupełnionego pola w formularzu
        if ($imie || $nazwisko) {
            $sql = "SELECT * FROM `test` WHERE 1";
            //przygotowujemy dane do bindowania
            $b_data_types = '';
            $b_values = array();
            if (!empty($imie)) {
                $sql .= " && imie=?";
                $b_data_types .= 's';
                array_push($b_values, $imie);
            }

            if (!empty($nazwisko)) {
                $sql .= " && nazwisko=?";
                $b_data_types .= 's';
                array_push($b_values, $nazwisko);
            }

            //----------------------------------------------------------------
            //przygotowujemy zapytanie
            $stmt = $db->prepare($sql);
            $stmt->bind_param($b_data_types, ...$b_values);
            $stmt->execute();
            $wynik = $stmt->get_result();
            foreach ($wynik as $row) {
                echo "Witaj {$row['imie']} {$row['nazwisko']}<br>";
            }
        } else {
            echo "Wypełnij przynajmniej jedno pole";
        }
    } elseif (isset($_POST['all'])) { //wyświetl wszystkie
        $sql = "SELECT * FROM `test`";
        //----------------------------------------------------------------
        //przygotowujemy zapytanie
        $stmt = $db->prepare($sql);
        $stmt->execute();
        $wynik = $stmt->get_result();
        foreach ($wynik as $row) {
            echo "Witaj {$row['imie']} {$row['nazwisko']}<br>";
        }
    } else {
        echo "Prześlij formularz.";
    }
}

$db->close(); //zamykamy połączenie
?>

<form action="" method="POST">
    Imię: <input type="text" name="imie">
    Nazwisko: <input type="text" name="nazwisko">
    <input type="submit" name="add" value="Dodaj">
    <input type="submit" name="all" value="Wyświetl wszystko">
    <input type="submit" name="search" value="Wyszukaj">
</form>

Artykuł 19. PHP – skrypty zmieniające dane w bazie danych pochodzi z serwisu Kama Kaczmarek.

Podejście proceduralne MySQLi

$db = mysqli_connect($serwer, $user, $pass, $baza);

czyli przy domyślnych ustawieniach serwera:

$db = mysqli_connect('localhost', 'root', '', 'twoja_baza_danych');

sprawdzamy, czy połączenie zostało nawiązane:

if(!$db) error_log('Błąd połączenia: '. mysqli_connect_error());

Możemy wykorzystać jeden z dostępnych komunikatów błędów:

mysqli_connect_errno() – Returns the error code from last connect call

mysqli_connect_error() – Returns a description of the last connection error

mysqli_errno() – Returns the error code for the most recent function call

mysqli_error() – Returns a string description of the last error

mysqli_sqlstate() – Returns the SQLSTATE error from previous MySQL operation

Podejście obiektowe MySQLi

$db = new mysqli($serwer, $user, $pass, $baza);

czyli przy domyślnych ustawieniach serwera:

$db = new mysqli('localhost', 'root', '', 'twoja_baza_danych');

sprawdzamy, czy połączenie zostało nawiązane:

if($db->connect_error) error_log('Błąd połączenia: '. $mysqli->connect_error);

Możemy wykorzystać jeden z dostępnych komunikatów błędów:

mysqli_connect_errno() – Returns the error code from last connect call

mysqli_connect_error() – Returns a description of the last connection error

mysqli_errno() – Returns the error code for the most recent function call

mysqli_error() – Returns a string description of the last error

mysqli_sqlstate() – Returns the SQLSTATE error from previous MySQL operation

Łączenie z PDO – PHP Data Object

$pdo = new PDO("mysql:host=$serwer;dbname=$baza", "$user", "$pass");

czyli przy domyślnych ustawieniach serwera:

$pdo = new PDO("mysql:host=localhost;dbname=twoja_baza_danych", "root", "");

sprawdzamy, czy połączenie zostało nawiązane – wykorzystamy do tego celu wyjątki:

try{
    $pdo= new PDO("mysql:host=localhost;dbname=twoja_baza_danych", "root", "");
} catch (PDOException $e){
    echo "Błąd połączenia z bazą danych";
}

Możemy wykorzystać jeden z dostępnych komunikatów błędów dostępny w manualu.

W pierwszej kolejności należy utworzyć bazę danych i wypełnić ją przykładowymi danymi.

Na potrzeby przykładu utworzyłam bazę o nazwie operacje_db, o strukturze:

W następnym kroku połączymy się z bazą i wyciągniemy dane z utworzonej tabeli.

 <?php
  //ustawiamy dane do bazy
  $serwer='localhost'; //lub 127.0.0.1 - to jest nazwa serwera  
  $user='root'; //użytkownik bazy danych
  $pass=''; //hasło do bazy
  $baza='operacje_db'; //nazwa bazy

  //łączenie z bazą
  mysqli_report(MYSQLI_REPORT_OFF); // dodajemy tą linijkę, aby móc samodzielnie obsłużyć raportowanie błędów
  /* @ służy do wygłuszania/ukrywania ostrzeżeń */

  //podejście obiektowe
  $db = @new mysqli($serwer, $user, $pass, $baza); //podejście obiektowe - korzystamy z klasy PHP o nazwie mysqli
  
  //tak jest w podejściu strukturalnym
  //$db = mysqli_connect($serwer, $user, $pass, $baza); 

  //sprawdzamy czy się łączy w podejściu obiektowym
  if($db->connect_error) 
  {
      die('Błąd połączenia: '. $db->connect_error); 
  }  

  //sprawdzamy czy się łączy w podejściu proceduralnym
  /*if(!$db)
  {
      error_log('Błąd połączenia: '. mysqli_connect_error());
  }*/
  
  else
  {
        echo 'Połączenie nawiązano<br />';

        // wyciągamy wszystko z tabeli "test"
        $sql="SELECT * FROM `test` ";
        $wynik=$db->query($sql);

        /* możemy podejrzeć co otrzymaliśmy
        echo '<pre>';
        print_r($db);
        echo '</pre>';

        echo '<pre>';
        print_r($wynik);
        echo '</pre>';
        */

        $ile_wierszy=$wynik->num_rows;
        echo 'ilość wierszy '.$ile_wierszy.'<br />';

        //wyciągamy dane z zapytania
        echo '<table>';
        echo '<tr><td>Imie</td><td>Nazwisko</td></tr>';
        //pętla po rekordach z bazy
        for ($i=0; $i <$ile_wierszy; $i++)
            {
                $wiersz = $wynik->fetch_assoc(); //pobiera kolejny wiersz wyników jako tablicę asocjacyjną
                echo '<tr>';
                echo '<td>'.$wiersz['imie'].'</td>';
                echo '<td>'.$wiersz['nazwisko'].'</td>';
                echo '</tr>';
            }
        echo '</table>';
 

       //można to też zrobić za pomocą foreach
       foreach($wynik as $row) { 
        echo $row["id"].'-'.$row['imie'].'<br/>';
      }   


  } 
  $db->close(); //zamykamy połączenie
?>

UWAGA: stosowanie query() nie zapewnia bezpieczeństwa w przypadku ataków SQJ Injection. Zamiast query należy używać parameterized prepared statements (opracowanie w następnym temacie). Aby query() było bezpieczne nalezy stosować mysqli_real_escape_string() .

Zamykanie połączenia z bazą

Operacja zamknięcia połączenia jest automatycznie wykonywana po zakończeniu skryptu, jeżeli potrzebujemy zakończyć takie połączenie wcześniej robimy to za pomocą poleceń:

//strukturalnie
mysqli_close($polaczenie); 

//obiektowo
$mysqli->close();

//PHP Data Object - PDO
unset($pdo);

Wyświetlanie informacji z bazy na podstawie danych z formularza

Najczęściej dane z bazy wybieramy na podstawie pewnych warunków, jakie określi użytkownik.

Poniższy kod jest najprostszym przykładem, który należy jeszcze dopracować (dokonać walidacji).

 <?php
  //ustawiamy dane do bazy
  $serwer='localhost'; //lub 127.0.0.1 - to jest nazwa serwera  
  $user='root'; //użytkownik bazy danych
  $pass=''; //hasło do bazy
  $baza='operacje_db'; //nazwa bazy

  //łączenie z bazą
  mysqli_report(MYSQLI_REPORT_OFF);
  $db = @new mysqli($serwer, $user, $pass, $baza); //podejście obiektowe - korzystamy z klasy PHP o nazwie mysqli
  
  //sprawdzamy czy się łączy w podejściu obiektowym
  if($db->connect_error) {
      die('Błąd połączenia: '. $db->connect_error); 
  } else {
        echo 'Połączenie nawiązano<br />';
        //sprawdzamy czy kliknięto wyszukaj
        if (isset($_POST['przycisk'])) {
            //zaczynamy przygotowywać zapytanie
            $sql = "SELECT * FROM `test` WHERE 1 ";
            if (!empty($_POST['imie'])) $sql .= "&& imie LIKE '" . $_POST['imie'] . "'"; //do już istniejącego zapytania doklejamy warunki
            if (!empty($_POST['nazwisko'])) $sql .= " && nazwisko LIKE '" . $_POST['nazwisko'] . "'";
            echo $sql;

            $wynik = $db->query($sql);
            foreach ($wynik as $row) {
                echo "<br/>Witaj {$row['imie']} <br/>";
            }
        }else{
            echo "Prześlij formularz";
        }
  } 
  $db->close(); //zamykamy połączenie
?>
<form action="" method="POST">
    Imię: <input type="text" name="imie">
    Nazwisko: <input type="text" name="nazwisko">
    <input type="submit" name="przycisk" value="Wyszukaj">
</form>

Artykuł 18. PHP – łączenie z bazą i operacje na bazie danych pochodzi z serwisu Kama Kaczmarek.

Najwygodniejszym i optymalnym miejscem do przechowywania dużej ilości informacji są bazy danych.

Aby PHP mógł korzystać z bazy danych musi być spełnione kilka warunków: serwer bazy danych musi istnieć i PHP musi się z nim połączyć.

Komunikacja z bazą danych może przebiegać z wykorzystaniem 2 wbudowanych bibliotek (3cia została już zdeprecjonowana od wersji PHP5.5), należą do nich:

• mysqli – wersja poprawiona i aktualna wycofanej od PHP7 biblioteki mysql. To rozszerzenie może być stosowane w podejściu proceduralnym i obiektowym. Współpracuje tylko z bazami MySQL.
• PDO – PHP Data Objects. To rozszerzenie jest w pełni obiektowe i współpracuje z wieloma silnikami bazy danych, nie tylko MySQL.

Bazę danych na serwerze oraz tabele i połączenia między nimi możesz stworzyć z poziomu języka PHP, jak również bezpośrednio na serwerze np. w phpMyAdmin.

MySQL i MariaDB

RDBMS – czyli system zarządzania relacyjnymi bazami danych.

MySQL i MariaDB są właśnie takimi systemami.

MariaDB powstała jako alternatywa dla MySQL, którego licencja jest zależna od Oracle.

MariaDB ma licencję GPL.

Oba rozwiązania są darmowe, MariaDB jest rozwiązaniem młodszym i oferuje lepsze silniki obsługi pamięci masowej, natomiast MySQL jest najpopularniejszym systemem obsługi SQL.

Więcej o tych dwóch systemach możecie przeczytać na stronie https://hostclub.pl/mariadb-vs-mysql-porownanie-baz-danych/

Artykuł 17. PHP – współpraca z bazami danych pochodzi z serwisu Kama Kaczmarek.