PDO gigatische error

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • PDO gigatische error

      weer iets waarover ik mijn hersenen ben aan het breken:

      PHP Source Code

      1. <?php
      2. $result = $db->prepare("SELECT * FROM faucets ORDER BY :sorton :order");
      3. $result->bindValue(':sorton', $sorton, PDO::PARAM_STR);
      4. $result->bindValue(':order', $order, PDO::PARAM_STR);
      5. $result->execute();
      6. //$row = $result->fetchAll(PDO::FETCH_ASSOC);
      7. //print_r($row);
      8. $nr = 0;
      10. while($value = $result->fetch(PDO::FETCH_ASSOC)) {
      11. echo "<tr>";
      12. foreach($value as $row) {
      13. $nr = $nr + 1;
      14. echo "<td>".$nr."</td>
      15. <td><a href='".$row['faucet_url']."'>".$row['faucet_name']."</a></td>
      16. <td>".$row['average_reward']."</td>
      17. <td>".$row['reward_hour']."</td>
      18. <td>".$row['wait_time']."</td>
      19. <td>".$row['payement']."</td>";
      20. }
      21. echo "</tr>";
      22. }
      23. ?>
      Display All
      de error is hier te bezichten.

      Hopelijk kan iemand mij helpen want ik zou niet weten wat ik fout gedaan heb.

    • Verander eens dit:

      Source Code

      1. $result = $db->prepare("SELECT * FROM faucets ORDER BY :sorton :order");
      2. $result->bindValue(':sorton', $sorton, PDO::PARAM_STR);
      3. $result->bindValue(':order', $order, PDO::PARAM_STR);
      4. $result->execute();


      In dit:

      Source Code

      1. $result = $db->prepare("SELECT * FROM faucets ORDER BY :sorton :order");
      2. $result->execute(array(':sorton' => $sorton, ':order' => $order));
      Vervolgens, zorg dat $sorton effectief een tabel attribuut bevat en dat $order ook juist is LIMIT *,* ...
      Ik heb nooit eerder tabel attributen of orders gebind, snap ook niet waarom dat nodig is zolang het geen user input is.
      Dus alsnog indien geen user input of op z'n minst door jouw samengestelde input variabelen a.h.v. die user input: dan kan je zonder gebinde parameters werken in je querie:

      Source Code

      1. $result = $db->prepare("SELECT * FROM faucets ORDER BY `$sorton` $order");
      2. $result->execute();

      PS op die pagina lijken de errors uit een ander script te komen.
      Illegal string offset komt voor wanneer je array ongeldige keys of values bevat, een oplossing kan zijn $arr = array("var" => $var); //Werken met dubbele quotes
      Web developer

      The post was edited 1 time, last by MiCa- ().

    • Toevoeging op code van @MiCa-

      PHP Source Code

      1. $result = $db->prepare("SELECT * FROM faucets ORDER BY `$sorton` $order");
      2. $result->execute();
      Hiermee doe je het idee van prepared statement min of meer teniet (door rechtstreeks waarden in je querystring te plakken in plaats van te binden via parameters of values).

      Helaas is het niet mogelijk om dit op een andere manier te doen omdat het simpelweg niet mogelijk is om tabelnamen en -kolommen te binden op deze manier (of extra SQL te schrijven, for that matter). Daarvoor zijn prepared statements niet bedoeld, het is enkel de bedoeling dat je DATA bind, en niets anders.

      Met het bovenstaande introduceer je wel weer de mogelijkheid voor SQL injectie. Omdat je de spelregels van prepared statements met bovenstaande constructie omzeilt is je query hier weer vatbaar voor. Zorg dus dat je met whitelists werkt, oftewel definieer wat toegestane waarden zijn voor $sorton en $order en zorg ervoor dat ze terug kunnen vallen op een geldige (en zinnige) default waarde.

      (Hetgeen in de vorige alinea wordt beschreven komt in wezen neer op input filtering)

    • FangorN wrote:

      Toevoeging op code van @MiCa-

      PHP Source Code

      1. $result = $db->prepare("SELECT * FROM faucets ORDER BY `$sorton` $order");
      2. $result->execute();
      Hiermee doe je het idee van prepared statement min of meer teniet (door rechtstreeks waarden in je querystring te plakken in plaats van te binden via parameters of values).

      Helaas is het niet mogelijk om dit op een andere manier te doen omdat het simpelweg niet mogelijk is om tabelnamen en -kolommen te binden op deze manier (of extra SQL te schrijven, for that matter). Daarvoor zijn prepared statements niet bedoeld, het is enkel de bedoeling dat je DATA bind, en niets anders.

      Met het bovenstaande introduceer je wel weer de mogelijkheid voor SQL injectie. Omdat je de spelregels van prepared statements met bovenstaande constructie omzeilt is je query hier weer vatbaar voor. Zorg dus dat je met whitelists werkt, oftewel definieer wat toegestane waarden zijn voor $sorton en $order en zorg ervoor dat ze terug kunnen vallen op een geldige (en zinnige) default waarde.
      Ik bedoelde, wanneer jij zelf de tabel kolommen valideert en je order string ook netjes valideerd a.h.v. enige input dan kan je perfect deze variabelen in je query toevoegen zonder dat iemand daarop kan inspelen. Data zoals jij aangeeft aan de andere kant moet wel steeds gebind worden en daarvoor beveel ik het 2e stukje code aan in mijn eerdere post i.p.v. iedere parameter in een aparte lijn te gaan binden. Data zal meestal ook alleen maar voorkomen in de WHERE clause.

      Kolommen valideren kan al met een simpele array met toegankelijke kollomen, en je order kan gwn a.h.v. je gebruikers input, switch die en maak je string op met int waarden indien user input geen int waarde is stel je gwn een standaar in zoals bv: LIMIT 0,10
      Dit is vooral handig bij dynamische code, functies die op meerdere vesrch wijzen gebruikt kunnen worden. Het is veilig zolang je weet wat je doet..
      Web developer

      The post was edited 1 time, last by MiCa- ().

    • pff. ik heb er echt een zootje van gemaakt geen enkel van bovenstaande werkt.

      de volledige pagina:

      PHP Source Code

      1. <?php
      2. include "config.php";
      3. $sorton = "average_reward";
      4. $order = "DESC";
      5. if(isset($_GET['sorton'])){
      6. $sorton = $_GET['sorton'];
      7. $order = $_GET['order'];
      8. }
      9. ?>
      10. <html>
      11. <head>
      12. <!-- Latest compiled and minified CSS -->
      13. <link rel="stylesheet" href="https://bootswatch.com/darkly/bootstrap.min.css">
      14. <!-- jQuery library -->
      15. <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
      16. <!-- Latest compiled JavaScript -->
      17. <script src="http://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/js/bootstrap.min.js"></script>
      18. <title>Bitylist</title>
      19. <meta charset="utf-8">
      20. <meta name="viewport" content="width=device-width, initial-scale=1">
      21. </head>
      22. <body>
      23. <div class="container">
      24. <div class="jumbotron">
      25. <h1><img src="http://bitcoin.i-rme.es/img/Bitcoin%20Logo%204096%20PNG%20Forocoches%20(RME).png" height="100px">Bitylist</h1>
      26. <p>Welcome to Bitylist! Bitylist is a smart faucetlist where you can open multiple faucets simultaneously instead of clicking them case-by-case. You have also the possibility of sorting them.</p>
      27. <p>Faucet balance: <?php echo get_balance($key); ?> satoshi</p>
      28. <div class="form-group">
      29. <label class="control-label">Claim reward:</label>
      30. <div class="input-group">
      31. <span class="input-group-addon">Bitcoin adress</span>
      32. <input type="text" class="form-control" placeholder="Enter your bitcoin adress here like '1CvBm4AoS7TVVVv5XC1wPiyMrpk4n8rzNC'.">
      33. <span class="input-group-btn">
      34. <button class="btn btn-default" type="button">Claim!</button>
      35. </span>
      36. </div>
      37. </div>
      38. </div>
      39. <div class="panel panel-default">
      40. <div class="panel-heading">
      41. <h3 class="panel-title">Faucet list</h3>
      42. </div>
      43. <div class="panel-body">
      44. <div class="form-group">
      45. <form method="post">
      46. <label class="control-label">Open faucets in new window:</label>
      47. <div class="input-group">
      48. <span class="input-group-addon">Till which number?</span>
      49. <input type="text" class="form-control" name="num">
      50. <span class="input-group-btn">
      51. <button class="btn btn-default" type="submit" name="submit">Open!</button>
      52. </span>
      53. </div>
      54. </form>
      55. </div>
      56. <table class="table table-striped table-hover">
      57. <thead>
      58. <tr>
      59. <th>nr.</th>
      60. <th><a href="index.php?sorton=faucet_name&order=ASC">Faucet</a></th>
      61. <th><a href="index.php?sorton=average_reward&order=DESC">average reward</a></th>
      62. <th><a href="index.php?sorton=reward_hour&order=DESC">average reward/hour</a></th>
      63. <th><a href="index.php?sorton=time&order=ASC">interval (min.)</a></th>
      64. <th><a href="index.php?sorton=payement&order=ASC">payement</a></th>
      65. </tr>
      66. </thead>
      67. <tbody>
      68. <?php
      69. $result = $db->prepare("SELECT * FROM faucets ORDER BY ".$sorton." ".$order."");
      70. $result->execute();
      71. //$row = $result->fetchAll(PDO::FETCH_ASSOC);
      72. //print_r($row);
      73. $nr = 0;
      75. while($value = $result->fetch(PDO::FETCH_ASSOC)) {
      76. echo "<tr>";
      77. foreach($value as $row) {
      78. $nr = $nr + 1;
      79. echo "<td>".$nr."</td>
      80. <td><a href='".$row['faucet_url']."'>".$row['faucet_name']."</a></td>
      81. <td>".$row['average_reward']."</td>
      82. <td>".$row['reward_hour']."</td>
      83. <td>".$row['wait_time']."</td>
      84. <td>".$row['payement']."</td>";
      85. }
      86. echo "</tr>";
      87. }
      90. /*$sql = "SELECT * FROM faucets ORDER BY ".$sorton." ".$order."";
      91. $result = $con->query($sql);
      92. if ($result->num_rows > 0) {
      93. // output data of each row
      94. $nr = 0;
      95. while($row = $result->fetch_assoc()) {
      96. $nr = $nr + 1;
      97. echo "
      98. <tr>
      99. <td>".$nr."</td>
      100. <td><a href='".$row['faucet_url']."'>".$row['faucet_name']."</a></td>
      101. <td>".$row['average_reward']."</td>
      102. <td>".$row['reward_hour']."</td>
      103. <td>".$row['wait_time']."</td>
      104. <td>".$row['payement']."</td>
      105. </tr>";
      106. }
      107. }
      108. else {
      109. echo "0 results";
      110. }
      111. */
      112. ?>
      113. </tbody>
      114. </table>
      115. </div>
      116. <div class="panel-footer"><center>© bitypalace.eu | | <a href="mailto:[email protected]?SUBJECT=Bitypalace contact">Contact</a><center></div>
      117. </div>
      119. </div>
      120. <script>
      121. <?php
      122. /*
      123. if (isset($_POST['submit'])){
      126. $result = $db->prepare("SELECT * FROM faucets ORDER BY :sorton :order");
      127. $stmt->bindValue(':sorton', $sorton, PDO::PARAM_STR);
      128. $stmt->bindValue(':order', $order, PDO::PARAM_STR);
      129. $result->execute();
      130. $maxnumber = $_POST['num'];
      131. $number = 0;
      132. while ($row = $db->fetchAll(PDO::FETCH_ASSOC))
      133. {
      134. ?>
      135. //add this line for each website you want to open
      136. window.open("<?php echo $row['faucet_url']; ?>",'');
      137. <?php
      138. $number = $number + 1;
      139. if($number == $maxnumber){
      140. break;
      141. }
      142. }*/
      146. /*$sql = "SELECT * FROM faucets ORDER BY ".$sorton." ".$order."";
      147. $result = $con->query($sql);
      148. $maxnumber = $_POST['num'];
      149. $number = 0;
      150. if ($result->num_rows > 0) {
      151. // output data of each row
      152. while($row = $result->fetch_assoc()) {
      153. ?>
      154. //add this line for each website you want to open
      155. window.open("<?php echo $row['faucet_url']; ?>",'');
      156. <?php
      157. $number = $number + 1;
      158. if($number == $maxnumber){
      159. break;
      160. }
      161. }
      162. }
      163. }*/
      164. ?>
      165. </script>
      166. </body>
      167. </html>
      Display All