Форум

chellas88 · #1 (**permalink**) 11.11.2017, 00:48

Всем привет, есть код:

function addCart(id){
	$.ajax({
		type: "POST",
		url: "src/js/add_cart.php",
		data: {"id": id},
		cache: false,
		success: function(response){
			
		}
		
		
	});
	
};

$(function(){
	$('.in_cart').click(function(){
		var item = $(this).attr('id');
		addCart(item);
	});
});

add_cart.php

$id = addslashes($_POST['id']);
$sql = mysql_query("SELECT * FROM `products` WHERE `id` = $id") or die (mysql_error());
$product = mysql_fetch_assoc($sql);
		$_SESSION['cart'][$id] = 1;
		$_SESSION['total_price'][$id] = $product['price'];

Не срабатывает запись в обработчике. Может быть проблема в возврате ответа, что туда нужно записать?

chellas88 · #2 (**permalink**) 11.11.2017, 01:15

Сори, сессию не стартанул. Тема закрыта

laimas · #3 (**permalink**) 11.11.2017, 05:25

$id = ~~addslashes($_POST['id'])~~ mysql_real_escape_string($_POST['id']), а для чисел достаточно приведение к integer;

Nexus · #4 (**permalink**) 11.11.2017, 15:00

Сообщение от laimas

mysql_real_escape_string

mysqli_real_escape_string
"mysql_" deprecated.

laimas · #5 (**permalink**) 11.11.2017, 15:03

Сообщение от Nexus

mysqli

Он использует оригинальное расширение. Другой вопрос, что о нем надо забыть.

Да если бы только это было плохо, а ведь все плохо в коде.

Nexus · #6 (**permalink**) 11.11.2017, 15:23

laimas, все поначалу так кодили.
Да и не все так плохо.
_post.id неправильно обрабатывается. Если ожидается int, то можно сделать так:

if(!is_numeric($_POST['id']))
    exit('Bad request');

$id=intval($_POST['id']);

Уведомление об ошибке sql-выполнения запроса увидит каждый.
Не проверяется есть ли вообще такой продукт в бд.
Ну и корзина в сессии хранится.

laimas · #7 (**permalink**) 11.11.2017, 16:17

if($id = (int)$_POST['id']) {
    //запрос по $id и если есть товар
   //....
}

Сообщение от Nexus

все поначалу так кодили.

Не все, те кто мультики Поповых и им подобных смотрят, те да. )

Nexus · #8 (**permalink**) 11.11.2017, 17:23

Сообщение от laimas

Не все

Ок, может и не все.
Лично я почти также кодил ("почти", потому что я вообще данные от клиента не проверял), когда начинал изучать PHP - свой первый ЯП.

laimas · #9 (**permalink**) 12.11.2017, 09:04

Даже и не знаю как это комментировать. ) Ну логика то должна подсказывать, что прежде чем брать с собой зонтик нужно как минимум выглянуть в окно, так ведь? А чем это отличается от обязательности проверки наличия данных в базе или достоверности полученных данных? Ничем.

Nexus · #10 (**permalink**) 12.11.2017, 11:55

laimas, у меня полностью отсутствовали знания об уязвимостях, поэтому я думал, что проверки наличия данных в бд вполне достаточно.
Логика подсказывала, что если запрос ничего не вернул (или зафейлился), значит полученные от клиента данные не верны

Форум

Справочник

Discord чат

Курсы javascript