hulp gezocht voor beveiligen tegen sql injection

Hallo,

Gebruik maken van prepared statements (Google even wat het is) en je bent veilig

Mvg,
Tim

Was het maar zo makkelijk! Je zal je script op een andere manier moeten opbouwen, als je even op Google kijkt kun je hele bruikbare informatie vinden zoals: http://www.wikihow.com/Prevent-SQL-Injection-in-PHP

Vergeet dan ook niet de volgende documentatie te lezen:
- http://www.php.net/mysqli
- http://www.php.net/pdo.prepared-statements

Beste ,

Je kan ook gebruik maken van
http://php.net/manual/en/funct…ql-real-escape-string.php.

Citaat van rickvbeek

Beste ,

Je kan ook gebruik maken van
http://php.net/manual/en/funct…ql-real-escape-string.php.

Er staat letterlijk bovenaan:

"Warning: This extension is deprecated as of PHP 5.5.0, and will be removed in the future. Instead, the MySQLi or PDO_MySQL extension should be used. See also MySQL: choosing an API guide and related FAQ for more information. Alternatives to this function include: mysqli_real_escape_string() PDO::quote()"

Dit betekend dat als je dit nu gebruikt in een script, het binnen een aantal PHP versies niet meer zal worden ondersteund. Het word dus sterk afgeraden om deze extentie op dit moment nog te gebruiken.

Citaat van Cas

Er staat letterlijk bovenaan:

"Warning: This extension is deprecated as of PHP 5.5.0, and will be removed in the future. Instead, the MySQLi or PDO_MySQL extension should be used. See also MySQL: choosing an API guide and related FAQ for more information. Alternatives to this function include: mysqli_real_escape_string() PDO::quote()"

Dit betekend dat als je dit nu gebruikt in een script, het binnen een aantal PHP versies niet meer zal worden ondersteund. Het word dus sterk afgeraden om deze extentie op dit moment nog te gebruiken.

"Bedankt cas had ik inderdaad niet gezien "
Maar als je hier boven kijkt naar de code zien je dat hij veelvuldig gebruik maakt van mysql_query die gelijk tijdig er uit gaat.
Het is natuurlijk niet de beste manier die ik heb gegeven maar het is wel een manier om het doen.

Ik zal me daarom even aanvullen.
Mysql_query gaat in php 6 verdwijnen als je script wil die nog jaren mee kan dan zal je het geheel moeten veranderen.

Je kan hier voor
http://www.php.net/manual/en/mysqli.query.php gebruiken
of
http://www.php.net/class.pdo

Met vriendelijke groet,
rick van beek

Hallo,

mysql_real_escape_string is niet veilig genoeg

Mvg,
Tim

Inderdaad zoals rick al aangeeft, PDO. Hier hoef je je namelijk al een stuk minder druk te maken over sql injections etc. aangezien dit standaard in PDO zit. Dus wanneer je denk dat het echt nodig is om jezelf te leren hoe iets goed te beveiligen, zal ik je zeker aanraden om te kijken naar PDO.

Het is natuurlijk altijd nodig om het goed te beveiligen, maar ik zelf acht een goede basiskennis in PHP belangrijker. Naarmate je basiskennis goed is, zul je PDO ook een stuk makkelijker begrijpen.

Indien je, nog door wilt gaan met het gebruiken van MySQL, dan zou ik de functie mysql_real_escape_string() samen met de trim() functie gebruiken.
Als voorbeeld:

mysql_real_escape_string(trim($_POST['login']))

http://www.php.net/trim
http://www.php.net/manual/en/f…ql-real-escape-string.php

Wat ik zelf en andere aanraden is om bijvoorbeeld over te stappen naar de prepared statement van bijvoorbeeld MySQLI.
Als voorbeeld in jouw geval ongeveer:

<?php
//Het mist nog een groot stuk, gebruik hiervan maken kan dus niet.
$stringLogin  = trim($_POST['login']);


if($stmt = $mysqli->prepare("SELECT login,actief FROM users WHERE login=?")) 
{
    $stmt->bind_param("s", $stringLogin);
    $stmt->execute();
    $stmt->close();
}
?>

Bij PDO gebruik ik zelf de prepared statement met arrays:

<?php
$stringCode = 'Hulp';
$stringUrl  = 'http://icts.nl';


					//We gaan nu verder en importeren het in de database.
                    $stmt = $db->prepare(" INSERT INTO hulp(code, redirect) VALUES (?, ?) ");
					//In PDO is er geen real_escape_string maar de quote() functie, als je deze zonder de substr() fucntie gebruikt wordt er bijv. in de DB enkele single quotes gezet rondom de info.
					$stmt->execute(array(substr($db->quote($stringCode), 1, -1), substr($db->quote($stringUrl), 1, -1)));
?>

Citaat

Hallo,

mysql_real_escape_string is niet veilig genoeg

Mvg,
Tim

Toelichting?

De mysql-extensie is inderdaad deprecated en wordt vervangen met mysqli. In nieuwe ontwikkeling is het dus sterk aangeraden de tevens betere mysqli of PDO extensie te nemen.

Hallo,

Stefan, exacte reden heb ik niet meer onthouden. Was dacht ik iets dat je alsnog wat met backslash of anders de gewone slash kon doen.

Heb niet onthouden waarom niet veilig. Enkel hoe je het wel veilig doet, namelijk prepared statements. Dat is voor bijna elke taal ook beschikbaar.

Mvg,
Tim

Citaat van Stefan.J

Toelichting?

De mysql-extensie is inderdaad deprecated en wordt vervangen met mysqli. In nieuwe ontwikkeling is het dus sterk aangeraden de tevens betere mysqli of PDO extensie te nemen.

Deze functie is niet veilig omdat je wat Tim al zegt te maken hebt met backslashes, maar dit is niet de enige reden. Het is in mysql_real_escape_string gewoon toegestaan om nummerieken te gebruiken hierdoor kan je alsnog injecteren.

Voorbeeld van één injectie:

<?php
$id = "0; DELETE FROM users";
$id = mysql_real_escape_string($id);


var_dump($id);
?>

Dat klopt, maar dat heeft niets met de escape functie te maken, maar met je gebruik ervan. Zolang je het resultaat van de escape functie in je query tussen quotes zet is er niets aan de hand.

Je zou dus kunnen stellen dat prepared statements meer idiot proof zijn. Maar zoals de bekende uitspraak luidt:

"If you make something idiot proof, someone will just make a better idiot."