[SQL]Veilig maken :D

ditismenno

Beste,

Zoals sommige zijden is mijn code niet veilig.
Mijn code:

PHP

$id = mysqli_real_escape_string($mysqli, $id);
if ($exec3 = $mysqli->query("SELECT * FROM `topics` WHERE catid='$id'")){
	while($topic = $exec3->fetch_assoc()) {
		$topicid = $topic['id'];
		$topicid = mysqli_real_escape_string($mysqli, $topicid);
		$exec4 = $mysqli->query("SELECT * FROM `reacties` WHERE topicid='$topicid'");
		$reacties = $reacties + $exec4->num_rows;
	}
}

Nu is mijn vraag kan iemand een voorbeeld geven van hoe het wel veilig is met wat uitleg erbij zodat ik het goed begrijp?

Alvast bedankt.

Tim

Hallo,

Prepared statements gebruiken en klaar
http://www.php.net/pdo.prepared-statements

Voor goede uitleg met voorbeelden.

Mvg,
Tim

ditismenno

Dus dan is dit een veilige code:

PHP

$id = mysqli_real_escape_string($mysqli, $id);
if ($exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid=:id")){
	$exec3->bindParam(':id', $id);
    while($topic = $exec3->fetch_assoc()) {
        $topicid = $topic['id'];
        $topicid = mysqli_real_escape_string($mysqli, $topicid);
        $exec4 = $mysqli->query("SELECT * FROM `reacties` WHERE topicid='$topicid'");
        $reacties = $reacties + $exec4->num_rows;
    }
}

En werkt deze dan ook goed?

M.Beers

Hallo menno,

Wij kunnen dit uiteraard niet zien of dit goed werkt, maar aan de syntax te zien is het goed.
Bij elke invoer dat door een gebruiker wordt gedaan moet je de prepare statements toepassen dit wil uiteraard niet zeggen dat het automatisch ook veilig is! Scriptkiddies zijn je altijd een stap voor.

ditismenno

Citaat van M.Beers

Hallo menno,
Wij kunnen dit uiteraard niet zien of dit goed werkt, maar aan de syntax te zien is het goed.
Bij elke invoer dat door een gebruiker wordt gedaan moet je de prepare statements toepassen dit wil uiteraard niet zeggen dat het automatisch ook veilig is! Scriptkiddies zijn je altijd een stap voor.

Mag ik vragen hoe u dat dan doet?

M.Beers

Dit is vrij lastig omdat er elke keer nieuwe dingen komen. Over het algemeen moet je rekening houden met:

SQL Injections
Dit is op te lossen met prepare statements

XSS (Cross-site scripting)
Dit is goed op te lossen door html code om te zetten naar html entities met htmlentities();

CSRF (Cross-site request forgery)
Dit is goed op te lossen door een unieke code mee te sturen met je formulier (token) deze veranderd elke keer als je website refreshed!

Session Hijacking
Dit los je goed op door een sessie ID te genereren met session_regenerate_id();

En zo zijn er nog wel een x-aantal methodes

Edit Nog een aanvulling op dit bericht waarbij ik denk dat het belangrijk is...

1. Vertrouw je INPUTS nooit!
2. Controlleer je inputs zo specifiek mogelijk (string, integer, decimal, ...) gebruik eventueel regex
3. Probeer gewoon je site zelf of te laten hacken voor je hem online gooit voor groot publiek

Stefan.J

De code die je post is veilig tegen SQL-injections. Prepared statements zijn nog wel beter, maar dat is meer vanwege de execution plan cache. Daarbij, over performance gesproken, je code is nogal inefficient.

De volgende code doet namelijk hetzelfde:

PHP

<?php


$postCountStatement = $mysqli->prepare("SELECT COUNT(1) FROM reacties r INNER JOIN topics t ON r.topicid = t.id WHERE catid=?");
$postCountStatement->bind_param('i', $categoryId);


$postCountStatement->execute();
$postCountStatement->bind_result($postCount);

Mits is MySQLi helemaal correct heb gebruikt want ik heb die library nog vrijwel nooit gebruikt.

Luc

@ M.Beers volgens mij haal jij CSRF door de war met XSS.

CSRF is namelijk dat ik via javascript bijvoorbeeld jou een form kan laten submitten die vervolgens uitgevoerd wordt onder jouw naam. Moet je wel ingelogd zijn op dat moment.

ditismenno

Dank jullie zeer ik heb nu de code:

PHP

$exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid = ?");
if ($exec3->execute(array($id))) {
	while ($topic = $exec3->fetch()) {
		$topicid = $topic['id'];
		$topicid = mysqli_real_escape_string($mysqli, $topicid);
		$topicid = htmlentities($topicid);
		$exec4 = $mysqli->prepare("SELECT * FROM `reacties` WHERE topicid = ?");
		$exec4->execute(array($topicid));
		$reacties = $reacties + $exec4->num_rows;
	}
}

Toon Meer

En voel me een stuk veiliger

Stefan.J

Misschien eens kijken naar mijn reactie? Kun je een hoop performancewinst mee halen.

Paar opmerkingen op je huidige code nog:

PHP

$exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid = ?"); //Waarom selecteer je alle velden (incl. waarschijnlijk een blob of text), terwijl je alleen ID gebruikt? Ik zou de variabele ook geen exec3 noemen, dat is nogal nietszeggend.
if ($exec3->execute(array($id))) {
    while ($topic = $exec3->fetch()) {
        $topicid = $topic['id']; //Variabele is een beetje overbodig, zou ik weglaten.
        $topicid = mysqli_real_escape_string($mysqli, $topicid); //Gezien je prepared statement heb je dit niet nodig.
        $topicid = htmlentities($topicid); //Je schrijft topicid niet naar het scherm, dus dit is niet nodig en onverstandig. Bovendien, is de ID geen integer?
        $exec4 = $mysqli->prepare("SELECT * FROM `reacties` WHERE topicid = ?"); //Tevens de wildcard selectie, selecteer hier bijvoorbeeld 1 of COUNT(1).
        $exec4->execute(array($topicid)); 
        $reacties = $reacties + $exec4->num_rows; //Bij de eerste loop krijg je hierop een NOTICE.
    }
}

Toon Meer

M.Beers

Luc Excuses je hebt inderdaad gelijk, ik heb mijn vorige reactie aangevuld en CSRF er ook bij gezet.

ditismenno

Citaat van Stefan.J

Misschien eens kijken naar mijn reactie? Kun je een hoop performancewinst mee halen.

Paar opmerkingen op je huidige code nog:

PHP

$exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid = ?"); //Waarom selecteer je alle velden (incl. waarschijnlijk een blob of text), terwijl je alleen ID gebruikt? Ik zou de variabele ook geen exec3 noemen, dat is nogal nietszeggend.
if ($exec3->execute(array($id))) {
    while ($topic = $exec3->fetch()) {
        $topicid = $topic['id']; //Variabele is een beetje overbodig, zou ik weglaten.
        $topicid = mysqli_real_escape_string($mysqli, $topicid); //Gezien je prepared statement heb je dit niet nodig.
        $topicid = htmlentities($topicid); //Je schrijft topicid niet naar het scherm, dus dit is niet nodig en onverstandig. Bovendien, is de ID geen integer?
        $exec4 = $mysqli->prepare("SELECT * FROM `reacties` WHERE topicid = ?"); //Tevens de wildcard selectie, selecteer hier bijvoorbeeld 1 of COUNT(1).
        $exec4->execute(array($topicid)); 
        $reacties = $reacties + $exec4->num_rows; //Bij de eerste loop krijg je hierop een NOTICE.
    }
}

Toon Meer

Beste bij reacties staat nog boven in de code $reacties = 0; dus daar krijg ik gene fout mee maar toch bedankt.
Voor de rest heb ik real escape string nu weggehaald.
En de variable weg gelaten alleen snap ik niet wat u bedoeld met:

$topicid = htmlentities($topicid); //Je schrijft topicid niet naar het scherm, dus dit is niet nodig en onverstandig. Bovendien, is de ID geen integer?

Stefan.J

De topicid haal je door htmlentities heen, maar je gebruikt de variabele niet om naar de output te schrijven (echo), dus wat heeft het dan voor toegevoegde waarde?

Waarom niet gaan voor de query uit mijn eerste reactie?

Tim

Hallo,

Let op met HTMLEntitities dat je dit wel goed doet. Standaard geberuik is niet voldoende tegen XSS over het algemeen.
Performance wise heeft Stefan zeker een punt, daar valt zeker wat uit te halen. Ook als je gaat kijke naar de onderhoudbaarheid.

Mvg,
Tim

ditismenno

Citaat van Tim

Hallo,
Let op met HTMLEntitities dat je dit wel goed doet. Standaard geberuik is niet voldoende tegen XSS over het algemeen.
Performance wise heeft Stefan zeker een punt, daar valt zeker wat uit te halen. Ook als je gaat kijke naar de onderhoudbaarheid.
Mvg,
Tim

Is HTMLEntitities nou alleen nodig met echo of ook bij query input?

Beste ik heb nu weer een stukje code geschreven maar ik weet niet waarom hij niets echo't ik hoop dat iemand de fout ziet:

PHP

$exec5 = $mysqli->prepare("SELECT id,name FROM `topics` WHERE catid = ? ORDER BY id DESC LIMIT 0,1");
$exec5 -> bind_param("i", $id);
if ($exec5->execute) {
	$count5 = $exec5->num_rows;
	while ($topic2 = $exec5->fetch()) {
		if ($count5 > 0){
			$lastid = $topic2['id'];
			$lastname = $topic2['name'];
		} else {
			$lastid = "/forum";
			$lastname = "Geen topic's";
		}
	}
}

Toon Meer

WHMCSAddons

Citaat van ditismenno
Is HTMLEntitities nou alleen nodig met echo of ook bij query input?

Beste ik heb nu weer een stukje code geschreven maar ik weet niet waarom hij niets echo't ik hoop dat iemand de fout ziet:
PHP
$exec5 = $mysqli->prepare("SELECT id,name FROM `topics` WHERE catid = ? ORDER BY id DESC LIMIT 0,1");
$exec5 -> bind_param("i", $id);
if ($exec5->execute) {
	$count5 = $exec5->num_rows;
	while ($topic2 = $exec5->fetch()) {
		if ($count5 > 0){
			$lastid = $topic2['id'];
			$lastname = $topic2['name'];
		} else {
			$lastid = "/forum";
			$lastname = "Geen topic's";
		}
	}
}
Toon Meer

Misschien omdat er geen echo of print functie instaat die je de waarde kan tonen, als ik uitga van dit gedeelte tenminste.

ditismenno

Sorry de code staat er zo:

PHP

$exec5 = $mysqli->prepare("SELECT id,name FROM `topics` WHERE catid = ? ORDER BY id DESC LIMIT 0,1");
if ($exec5->execute(array($id))) {
	$count5 = $exec5->num_rows;
	while ($topic2 = $exec5->fetch()) {
		if ($count5 > 0){
			$lastid = $topic2['id'];
			$lastname = $topic2['name'];
		} else {
			$lastid = "/forum";
			$lastname = "Geen topic's";
		}
	}
	echo '
		<tr>
			<td><a href="cat/'.$id.'">'.$name.'</a></td>
			<td><div class="topic"><span>'.$topics.'</span> topic\'s<br /> <span>'.$reacties.'</span> reacties</td></div>
			<td><div class="lasttopic"><a href="'.$lastid.'">'.$lastname.' 1</a></div></td>
		</tr>
	';
}

Toon Meer

Maar nu echo't hij niets dus waarschijnlijk is er iets mis met de query.

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

350 Nieuwe Domeinnamen Januari 2026

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

[SQL]Veilig maken :D

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2