Bijna alles?

Nieuwe reactie samengevoegd met originele reactie op 08.10.10 22:39:03:

<?php
//Formulier is gepost, en de MySQL connectie moet er zijn!
$naam = mysql_real_escape_string($_POST['naam']);
mysql_query("UPDATE tabel SET naam='".$naam."' WHERE veld='Jouw tabel naam'");
?>

Zet dit scriptje boven aan je php bestand,(Gebruik alleen als je een tabel bestand ook echt gebruikt)

Ik zou als ik jou was inderdaad elk script langsgaan, dit is niet te vertrouwen

En gebruik altijd [func]strip_tags[/func] én [func]mysql_real_escape_string[/func].
Zo beveilig je je script tegen alle PHP, HTML, JS & SQL injecties.

Succes ermee!

Lars

Xss valt daar ook onder?

Geef is een voorbeeld query, en welke situatie het beste zou zijn daarvoor?

Dus zoiezo alles wat een DB ingaat moet met strip_tags?

Zo:

$var2 = strip_tags(mysql_real_escape_string($var));

En dan $var vervangen met $_POST['IETS'] of bijv. $_GET['IETS'].
Die stript namelijk alle code uit de variabele.
LET OP!, als je mysql_real_escape_string(); gebruikt let dan op dat de mysql verbinding aan staat.
En als je MySQLi gebruikt, dan moet het zo:

$var2 = strip_tags(mysqli_real_escape_string($link, $var));

Waar $link dan doorlinkt naar bijv:

$link = mysqli_connect("localhost", "my_user", "my_password", "world");

Dit kan je gewoon op PHP.net nalezen:
http://nl3.php.net/mysqli_real_escape_string
(let op!, kijk naar het producural voorbeeld!)
http://nl3.php.net/mysql_real_escape_string
http://nl3.php.net/strip_tags

Lars
P.S.
XSS is een andere naam voor HTML etc.

Hmm ok, dus strip tags haalt de / ' ) } etc allemaal eruit.

En dus komt het als bijv:

/{{lol)(^ als lol eruit?

Citaat van Lancer

Hmm ok, dus strip tags haalt de / ' ) } etc allemaal eruit.

En dus komt het als bijv:

/{{lol)(^ als lol eruit?

Ik neem aan dat je weet dat een tag dit bijvoorbeeld is: <b>tekst</b>

@larsisgoed
Waarom zou je allemaal extra variabele maken, totaal nutteloos en neemt overbodige regels in.

"XSS is een andere naam voor HTML etc."
1 ding wat ik hierover kan zeggen: HAHAHAHAHAAHAHAHAHAHAHAHAHAHAHAHAHAH ken je bronnen.

Okay

Niels:
Je weet wel wat ik bedoel.
XSS injection is een ander woord voor HTML injection :s.

Lancer:
Een tag is inderdaad <b>Dikgedrukt</b> of <br />, of <?php of echo ''; etc.

of... je gebruikt:

htmlspecialchars();

Is tegen XSS ..

maurice,
Ja maar niet geen PHP injections dacht ik.
Dus strip_tags(); i.c.m. mysql(i)_real_escape_string(); is dan wel een goede combi.

Lars

http://ha.ckers.org/xss.html

Lees dit maar door, dan snap je precies wat xss doet als jij het niet beveiligd.

Citaat van larsisgoed9

Niels:
Je weet wel wat ik bedoel.
XSS injection is een ander woord voor HTML injection :s.

Lancer:
Een tag is inderdaad <b>Dikgedrukt</b> of <br />, of <?php of echo ''; etc.

Ik weet het wel anders kon ik die opmerking ook niet maken he. Maar als jij het niet eens helder kunt uitleggen aan de mensen die er moeite mee hebben en die iets niet begrijpen dan zit je toch fout met jouw functie.