Проверка не правильная или регулярка?

Question

[Владимир Шикльгрубер]

Привет. Генерирую числа с помощью mt_rand и шлю их курлом обработчику.
Не работают регулярки проверки этих чисел... Думал проблема в пробелах. Использовано было trim() Код ниже

<?PHP
include('../../inc/funs.php');



$oplata = $_POST['oplata'];
$rnd    = $_POST['rnd'];
$summ   = $_POST['summ'];
$time   = $_POST['time'];
$id     = $_POST['id'];
$kl     = $_POST['kl'];
$magas  = $_POST['magas'];
$hash   = $_POST['hash'];

//фильтр
$oplata = $dbc->real_escape_string(trim($oplata));
$rnd    = $dbc->real_escape_string(trim($rnd));
$summ   = $dbc->real_escape_string(trim($summ));
$time   = $dbc->real_escape_string(trim($time));
$id     = $dbc->real_escape_string(trim($id));
$kl     = $dbc->real_escape_string(trim($kl));
$magas  = $dbc->real_escape_string(trim($magas));
$query  = "Select * from progekt where numbe = '$magas'";
if ($result = mysqli_query($dbc, $query)) {
    if ($m = mysqli_fetch_array($result)) {
        
        
        if (!preg_match("/[0-9]/i", $oplata)) {
            if (!preg_match("/[0-9]/i", $rnd)) {
                if (!preg_match("/[0-9]/i", $summ)) {
                    if (!preg_match("/[0-9]/i", $time)) {
                        if (!preg_match("/[0-9]/i", $kl)) {
                            if (!preg_match("/[0-9]/i", $id)) {
                                if (!preg_match("/[0-9]/i", $magas)) {
                                } else {
                                    $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','Мало того что номер магазина не верный, так тру хакеры напихали ещё и букв... Пиздец кароче','$date')";
                                    $result_pist = mysqli_query($dbc, $query);
                                }
                            } else {
                                $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','Это не id а сплошная хуйня','$date')";
                                $result_pist = mysqli_query($dbc, $query);
                            }
                        } else {
                            $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','Открытый ключ вообще не ключ','$date')";
                            $result_pist = mysqli_query($dbc, $query);
                        }
                    } else {
                        $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','В time бред','$date')";
                        $result_pist = mysqli_query($dbc, $query);
                    }
                } else {
                    $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','В суме бред','$date')";
                    $result_pist = mysqli_query($dbc, $query);
                }
            } else {
                $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','В рандоме бред','$date')";
                $result_pist = mysqli_query($dbc, $query);
            }
        } else {
            $query       = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','В номере платежа бред а не номер','$date')";
            $result_pist = mysqli_query($dbc, $query);
        }
        
        
        
        
        
        $query = "Select id from user where id = '$id'";
        if ($result = mysqli_query($dbc, $query)) {
            if ($u = mysqli_fetch_array($result)) {
                
                $salt  = $m['salt'];
                $xxtea = $m['xxtea'];
                $h     = md5(sha1(md5(md5($salt . $oplata . $rnd . $summ . $time . $id . $kl . $magas . $xxtea . $salt) . $salt . $time . $id . $magas . $rnd) . $salt . $time . $id . $magas . $rnd) . $salt . $kl . $kl);
                
                
                
                if ($h == $hash) {
                    if ($m['numbe'] == $magas) {
                        if ("$u[id]" == "$id") {
                            
							
							
                        } else {
                            $query = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','юзер не найден','$date')";
                            $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
                        }
                    } else {
                        $query = "insert into ag_global_eror (`eror`,`date`) values ('Магазин не найден','$date')";
                        $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
                    }
                } else {
                    $query = "insert into eror (`magas`,`eror`,`date`) values ('$m[info]','хеши не совпали.','$date')";
                    $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
                }
                
            } else {
                $query = "insert into ag_global_eror (`eror`,`date`) values ('Не удалось получить инфу юзера с бд','$date')";
                $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
            }
        } else {
            $query = "insert into ag_global_eror (`eror`,`date`) values ('Не удалось найти юзера  бд (по ходу трухакеры напали)','$date')";
            $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
        }
    } else {
        $query = "insert into ag_global_eror (`eror`,`date`) values ('Не удалось получить масив магазина.','$date')";
        $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
    }
} else {
    $query = "insert into ag_global_eror (`eror`,`date`) values ('Не удалось выполнить выборку магазина с бд (по ходу трухакеры напали)','$date')";
    $result_pist = mysqli_query($dbc, $query) or die('ошибка записи ошибки в бд');
}
?>
Зарание спс за помощь.

Answer 1

[index0h]

Мда... Вы с govnokod.ru копи-пасту сделали?

1. Не используйте супер глобальные переменные $_GET/$_POST/...
Вместо этого - Request объект любого понравившегося вам фреймворка, например этот

2. Не пишите транслитом, никогда

3. Не пишите одно и тоже. Если вам нужна валидация - используйте либо самописную, либо возьмите готовую:
моя реализация, symfony validation, respect validation

4. Вместо того, что бы миллион раз писать вложенные, обверните в try/catch и бросайте исключение на то, что не нравится. Дальше логгируйте

5. "date"?? REALLY???? Данные - "data", дата(время) - "date"

6. Если хочешь проверить строку на цифры - есть ctype_digit

7. Открой для себя мир autoload вместе с composer. По хорошему в современном проекте require и его производные пишутся 1 раз, в index.php.

8. НЕ <?PHP, А <?php

9. Рано, или поздно все равно придешь к MVC - посему лучше начинай раньше. Конкретно сейчас у тебя работа с БД (модели) пересекаются с работой контроллера (обработка входящих данных).

10. Забудь за существование глобальных переменных, в смысле вообще.

Comments

[Владимир Шикльгрубер]

а как мне тогда передавать данные кроссдомено ? У меня же curl шлёт данные. Использую советы с другой темы Безопаснй сервис оплат?

[index0h]

Причем тут это? Разбор урла и выбор контроллера кладется на роутер фреймворка.

> Безопаснй сервис оплат?
Вам рано, невероятно рано.

[Владимир Шикльгрубер]

index0h: я всем своим проэтам делаю 1 кабинет просто.

[index0h]

Бизнес логика тут ни при чем. Я сужу по коду, который вижу. А вижу человека, только-только прочитавшего книгу php, причем "наискосок".

[Владимир Шикльгрубер]

index0h: я читал ru.html.net и php.net и кодил 1 месяц

[index0h]

Владимир Шикльгрубер Собственно я о том же. То, что ставите перед собой большие цели - это замечательно, но вот с онлайн коммерцией вам пока рано работать, можете наломать дров.

1 кабинет для всех проектов - это конечно замечательно, но вы должны понимать, что это единая точка отказа. Если с ней что-то случится - ваши проекты будут как на ладони, причем все. На подобный риск стоит идти только если у вас за плечами уже не хило так опыта.

Если я правильно предполагаю ваш замысел - это что-то, сродни ucoz. Что будет в случае: 1 из 10 ваших проектов DDOS-ят? За месяц практики вы вряд ли научились писать распределенные сервисы. По этому скорей всего все это дело будет на одной машине -> все сайты будут НЕ рабочими, включая кабинет.
Если распределены, но жестко завязаны на общий кабинет - ситуация будет примерно такая же.

[Владимир Шикльгрубер]

index0h: хм. Вы не угадали. Сейчас схема такова. главный сервер (там личный кабинет, бекапы ) и для каждого проекта свой сервак. Пароли я шлю главному серверу (кеш там sha512 sha1 md5 и всё прячу в base64 + xxtea + rsa. rsa провинился скачал с гитхаба) все сервера связаны по vpn . Если на какой либо сервер идёт ддос я быстренько его отбиваю грубой силой (моим ботнетом по принципу бан ip на уровне фаервола + атака своим ботом этот ip ) У меня опыт в it велик. почти 9 лет уже. В безопасности немножко шарю. но пхп для меня очень не стандартный... Думал щас как обычно к программам на c спроектирую свой протокол (на основе tcp/ip) и буду его юзать... В php нашел один способ это сделать написать свой модуль для пхп на c (я подумал зачем тогда учить php если всё к ниму лепить на c) Вот с того момента я тут строю велосипеды

[index0h]

Если все так замечательно, зачем вам php?)) Тем более, зачем это лично делать если вы его не знаете?
Наверняка у вас есть несколько знакомых прошаренных php-шников, делегируйте им эту задачу за умеренную плату, просто по коду, который я вижу - вам рано. Либо напишите на языке, на котором собаку съели.

Модуль на C для PHP... уже не раз слышу подобное, в 99% случаев - это пустая трата времени. Реализация бизнес-логики в сишном расширении для php - это бред, смысл в подобных действиях может быть только в случае, если конкретный функционал ОЧЕНЬ критичен по времени / памяти, например процессинг больших данных.

> но пхп для меня очень не стандартный...
Это state-less язык, его задача принять данные, сгенерить страничку и умереть, не более. Конечно на нем и мультипоточные всякие штуки пишут, но это как чесать спину задней левой ногой.

Если хорошо С знаете - могу порекомендовать посмотреть в сторону golang, под web идет замечательно.

[Владимир Шикльгрубер]

index0h: спасибо!

[Владимир Шикльгрубер]

index0h: ну так сказать c как первая девушка. дальше развиваться надо

Answer 2

[Михаил]

В данном случае вы можете использовать функцию ctype_digit() - она вернёт true, лишь в том случае, если все символы в строке это цифры

Comments

[Владимир Шикльгрубер]

спасибо!

Answer 3

[IceJOKER]

ОХРЕНЕТЬ О_О

Comments

[Владимир Шикльгрубер]

чё не нравится то?

[IceJOKER]

Владимир Шикльгрубер: вас ничего не смущает в вашем коде? О_О

[Владимир Шикльгрубер]

IceJOKER: нет. Вроде гавнокодом назвать нельзя. (всё по правилам) и отформатировано правильно. А то что куча проверок, так работа с деньгами ведь

[IceJOKER]

Владимир Шикльгрубер: хотел написать, что начиная со 2-ой строчки мне не нравится ваш код, а нет, ошибся, С САМОГО НАЧАЛА ФАЙЛА весь код ПОЛНОЕ БЕЗОБРАЗИЕ

[Владимир Шикльгрубер]

IceJOKER: окей. Почему? аргументируйте. Я тоже орать могу это гавно оно мне не нравится

[IceJOKER]

Владимир Шикльгрубер: да тут полный пздц, аргументов столько, что лень все расписывать

[Владимир Шикльгрубер]

IceJOKER: ну так аргумент для каждой проверки

[Владимир Шикльгрубер]

IceJOKER: а как можно всё пихнуть в 1 проверку? (я про регулярки)

Answer 4

[Max Payne]

Товарищ! Это п**дец!

Comments

[Владимир Шикльгрубер]

www.opennet.ru/docs/RUS/php_code_standart/php_code...

[Владимир Шикльгрубер]

вот этим стандартом пользуюсь. Чего не так то?

[Max Payne]

Владимир Шикльгрубер: И что? :) От того, что Вы "правильно" расставили фигурные скобки Ваш код не становится лучше.

[Владимир Шикльгрубер]

Arti Markelov: окей. где почитать о правильном

[Max Payne]

Владимир Шикльгрубер: О правильном чём?

[Владимир Шикльгрубер]

Arti Markelov: коде

[index0h]

Гугли стандарты PSR-0, PSR-1, PSR-2, PSR-4

[Владимир Шикльгрубер]

index0h: Спасибо!!!