Beveiligen met PDO

Hallo,

$db is onbekend in de functie.
Je moet de DB variabele als parameter meegeven, of in klasses werken en binnen de scope de waarde pakken of de globale (afgeraden) variabele pakken.

Mvg,
Tim

Normaal zou dit zo moeten werken

//Beveiligingsfuncties 
function sql($tekst){ 
    global $db;


    $tekst = $db->quote($tekst); 
    $tekst = addslashes($tekst); 
    return $tekst; 
}

Citaat van tcbhome

Normaal zou dit zo moeten werken

PHP

//Beveiligingsfuncties 
function sql($tekst){ 
    global $db;


    $tekst = $db->quote($tekst); 
    $tekst = addslashes($tekst); 
    return $tekst; 
}

Hallo,

Afgeraden dus

Mvg,
Tim

Addslashes is totaal zinloos, quote zorgt voor de beveiliging. Addslashes was alleen voordat real escape string bestond als vervanger. Nu hebben we ook quote.

Volgens mij moet je even bovenaan je functie gobal $db; zetten.

Citaat van bramieboy100

Volgens mij moet je even bovenaan je functie gobal $db; zetten.

Hallo,

Lees eens wat L.kok zei en wat ik zei

Mvg,
Tim

Zoals al eerder werd vermeld is addslashes niet benodigd bij PDO,
Zeker niet als je PDO in combinatie met de Prepare functie gaat gebruiken.
Dan komt je query er ongeveer zo uit te zien:

Voor elke variabele die je in een query wilt gebruiken moet je een bind param aanmaken.
indien de variabele enkel (altijd) een getal is dan gebruik je INT ipv STR

try {
	// Maken van verbindingen
	$db = new PDO('mysql:host='.$host.';port='.$poort.';dbname='.$dbname.', $gbnaam, $wachtwoord);
	$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);


	$stmtdata = $db->prepare("SELECT `level` FROM `users` WHERE `login`=:login LIMIT 1");
	$stmtdata->bindParam(':login', $login, PDO::PARAM_STR);
	$stmtdata->execute();


} catch(PDOException $e) {
	echo "<pre>";
	echo "Regelnummer: ".$e->getLine()."<br>";
	echo "Bestand: ".$e->getFile()."<br>";
	echo "Foutmelding: ".$e->getMessage()."<br>";
	echo "</pre>";
} // close catch


// Sluiten van verbindingen
$db = NULL;

Beste L.Kok,

natuurlijk is dit mogelijk.

Van OOP heb ik persoonlijk geen kennis maar kan je wel uitleggen hoe je op een 'standaard' manier connectie maakt etc.

Op de manier zoals ik laat zien maak je op iedere pagina een nieuwe DB connectie.

Je begint met een Try (hier probeer je DB connectie te maken)
in de Catch aan het einde van de pagina worden alle fouten afgevangen welke je db connectie en/of je query's geven.
Dit is dus handig bij het debuggen van je script.

Na de Catch word de db verbinding weer afgesloten.

Vervolgens maak je connectie met je database, (lijkt mij duidelijk, is de 'standaard PDO manier')

$host = "localhost";
$poort = ""; // normaal niet nodig
$dbname = "database naam";
$gbnaam = "Gebruikersnaam database";
$wachtwoord = "wachtwoord bij gebruikersnaam database";

Vervolgens ga je een Statment maken (een PDO query)
Door hierbij Prepare te gebruiken ga je eerst de query naar de server sturen & word gecontroleerd of dat deze klopt (zo voorkom je half uitgevoerde query's)
Tevens is door de prepare functie het onnodig om addslashes etc te doen. want dit word al door de prepare functie gecontroleerd.

Enkel kun je in de prepare query geen PHP variabele invoegen. ipv voer je de 'variabelen' in met een :
Dus inplaats van `login` = "$login" krijg je `login` = :login

Hierna dien je de parameter :login dus een waarde mee te geven, dit doe je door de Bindparam functie.
aan het einde van de Bindparam functie kun je aangeven of het een STR ('String' tekst of tekst gecombineerd met cijfers) of een INT (enkel cijfers betreft)
Indien je niet zeker van de input bent dus altijd STR gebruiken.

Ten slotte dien je de statement nog uit te voeren, met de definitieve paramters erin: dit is de execute lijn.

Hierbij nog een link naar een tutorial waarin het nog eens duidelijk, stap voor stap word uitgelegd.
http://www.sitemasters.be/tuto…PHP/PDO_(PHP_Data_Objects)