[SQL]Veilig maken :D

ditismenno · 16 December 2013

Beste,

Zoals sommige zijden is mijn code niet veilig.
Mijn code:

PHP

$id = mysqli_real_escape_string($mysqli, $id);
if ($exec3 = $mysqli->query("SELECT * FROM `topics` WHERE catid='$id'")){
	while($topic = $exec3->fetch_assoc()) {
		$topicid = $topic['id'];
		$topicid = mysqli_real_escape_string($mysqli, $topicid);
		$exec4 = $mysqli->query("SELECT * FROM `reacties` WHERE topicid='$topicid'");
		$reacties = $reacties + $exec4->num_rows;
	}
}

Nu is mijn vraag kan iemand een voorbeeld geven van hoe het wel veilig is met wat uitleg erbij zodat ik het goed begrijp?

Alvast bedankt.

Tim · 16 December 2013

Hallo,

Prepared statements gebruiken en klaar
http://www.php.net/pdo.prepared-statements

Voor goede uitleg met voorbeelden.

Mvg,
Tim

ditismenno · 16 December 2013

Dus dan is dit een veilige code:

PHP

$id = mysqli_real_escape_string($mysqli, $id);
if ($exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid=:id")){
	$exec3->bindParam(':id', $id);
    while($topic = $exec3->fetch_assoc()) {
        $topicid = $topic['id'];
        $topicid = mysqli_real_escape_string($mysqli, $topicid);
        $exec4 = $mysqli->query("SELECT * FROM `reacties` WHERE topicid='$topicid'");
        $reacties = $reacties + $exec4->num_rows;
    }
}

En werkt deze dan ook goed?

M.Beers · 16 December 2013

Hallo menno,

Wij kunnen dit uiteraard niet zien of dit goed werkt, maar aan de syntax te zien is het goed.
Bij elke invoer dat door een gebruiker wordt gedaan moet je de prepare statements toepassen dit wil uiteraard niet zeggen dat het automatisch ook veilig is! Scriptkiddies zijn je altijd een stap voor.

ditismenno · 16 December 2013

Citaat van M.Beers

Hallo menno,

Wij kunnen dit uiteraard niet zien of dit goed werkt, maar aan de syntax te zien is het goed.
Bij elke invoer dat door een gebruiker wordt gedaan moet je de prepare statements toepassen dit wil uiteraard niet zeggen dat het automatisch ook veilig is! Scriptkiddies zijn je altijd een stap voor.

Mag ik vragen hoe u dat dan doet?

M.Beers · 16 December 2013

Dit is vrij lastig omdat er elke keer nieuwe dingen komen. Over het algemeen moet je rekening houden met:

SQL Injections
Dit is op te lossen met prepare statements

XSS (Cross-site scripting)
Dit is goed op te lossen door html code om te zetten naar html entities met htmlentities();

CSRF (Cross-site request forgery)
Dit is goed op te lossen door een unieke code mee te sturen met je formulier (token) deze veranderd elke keer als je website refreshed!

Session Hijacking
Dit los je goed op door een sessie ID te genereren met session_regenerate_id();

En zo zijn er nog wel een x-aantal methodes

Edit Nog een aanvulling op dit bericht waarbij ik denk dat het belangrijk is...

1. Vertrouw je INPUTS nooit!
2. Controlleer je inputs zo specifiek mogelijk (string, integer, decimal, ...) gebruik eventueel regex
3. Probeer gewoon je site zelf of te laten hacken voor je hem online gooit voor groot publiek

Stefan.J · 16 December 2013

De code die je post is veilig tegen SQL-injections. Prepared statements zijn nog wel beter, maar dat is meer vanwege de execution plan cache. Daarbij, over performance gesproken, je code is nogal inefficient.

De volgende code doet namelijk hetzelfde:

PHP

<?php


$postCountStatement = $mysqli->prepare("SELECT COUNT(1) FROM reacties r INNER JOIN topics t ON r.topicid = t.id WHERE catid=?");
$postCountStatement->bind_param('i', $categoryId);


$postCountStatement->execute();
$postCountStatement->bind_result($postCount);

Mits is MySQLi helemaal correct heb gebruikt want ik heb die library nog vrijwel nooit gebruikt.

Luc · 16 December 2013

@ M.Beers volgens mij haal jij CSRF door de war met XSS.

CSRF is namelijk dat ik via javascript bijvoorbeeld jou een form kan laten submitten die vervolgens uitgevoerd wordt onder jouw naam. Moet je wel ingelogd zijn op dat moment.

ditismenno · 16 December 2013

Dank jullie zeer ik heb nu de code:

PHP

$exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid = ?");
if ($exec3->execute(array($id))) {
	while ($topic = $exec3->fetch()) {
		$topicid = $topic['id'];
		$topicid = mysqli_real_escape_string($mysqli, $topicid);
		$topicid = htmlentities($topicid);
		$exec4 = $mysqli->prepare("SELECT * FROM `reacties` WHERE topicid = ?");
		$exec4->execute(array($topicid));
		$reacties = $reacties + $exec4->num_rows;
	}
}

Toon Meer

En voel me een stuk veiliger

Stefan.J · 16 December 2013

Misschien eens kijken naar mijn reactie? Kun je een hoop performancewinst mee halen.

Paar opmerkingen op je huidige code nog:

PHP

$exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid = ?"); //Waarom selecteer je alle velden (incl. waarschijnlijk een blob of text), terwijl je alleen ID gebruikt? Ik zou de variabele ook geen exec3 noemen, dat is nogal nietszeggend.
if ($exec3->execute(array($id))) {
    while ($topic = $exec3->fetch()) {
        $topicid = $topic['id']; //Variabele is een beetje overbodig, zou ik weglaten.
        $topicid = mysqli_real_escape_string($mysqli, $topicid); //Gezien je prepared statement heb je dit niet nodig.
        $topicid = htmlentities($topicid); //Je schrijft topicid niet naar het scherm, dus dit is niet nodig en onverstandig. Bovendien, is de ID geen integer?
        $exec4 = $mysqli->prepare("SELECT * FROM `reacties` WHERE topicid = ?"); //Tevens de wildcard selectie, selecteer hier bijvoorbeeld 1 of COUNT(1).
        $exec4->execute(array($topicid)); 
        $reacties = $reacties + $exec4->num_rows; //Bij de eerste loop krijg je hierop een NOTICE.
    }
}

Toon Meer

M.Beers · 16 December 2013

Luc Excuses je hebt inderdaad gelijk, ik heb mijn vorige reactie aangevuld en CSRF er ook bij gezet.

ditismenno · 16 December 2013

Citaat van Stefan.J

Misschien eens kijken naar mijn reactie? Kun je een hoop performancewinst mee halen.

Paar opmerkingen op je huidige code nog:

PHP

$exec3 = $mysqli->prepare("SELECT * FROM `topics` WHERE catid = ?"); //Waarom selecteer je alle velden (incl. waarschijnlijk een blob of text), terwijl je alleen ID gebruikt? Ik zou de variabele ook geen exec3 noemen, dat is nogal nietszeggend.
if ($exec3->execute(array($id))) {
    while ($topic = $exec3->fetch()) {
        $topicid = $topic['id']; //Variabele is een beetje overbodig, zou ik weglaten.
        $topicid = mysqli_real_escape_string($mysqli, $topicid); //Gezien je prepared statement heb je dit niet nodig.
        $topicid = htmlentities($topicid); //Je schrijft topicid niet naar het scherm, dus dit is niet nodig en onverstandig. Bovendien, is de ID geen integer?
        $exec4 = $mysqli->prepare("SELECT * FROM `reacties` WHERE topicid = ?"); //Tevens de wildcard selectie, selecteer hier bijvoorbeeld 1 of COUNT(1).
        $exec4->execute(array($topicid)); 
        $reacties = $reacties + $exec4->num_rows; //Bij de eerste loop krijg je hierop een NOTICE.
    }
}

Toon Meer

Beste bij reacties staat nog boven in de code $reacties = 0; dus daar krijg ik gene fout mee maar toch bedankt.
Voor de rest heb ik real escape string nu weggehaald.
En de variable weg gelaten alleen snap ik niet wat u bedoeld met:

$topicid = htmlentities($topicid); //Je schrijft topicid niet naar het scherm, dus dit is niet nodig en onverstandig. Bovendien, is de ID geen integer?

Stefan.J · 16 December 2013

De topicid haal je door htmlentities heen, maar je gebruikt de variabele niet om naar de output te schrijven (echo), dus wat heeft het dan voor toegevoegde waarde?

Waarom niet gaan voor de query uit mijn eerste reactie?

Tim · 16 December 2013

Hallo,

Let op met HTMLEntitities dat je dit wel goed doet. Standaard geberuik is niet voldoende tegen XSS over het algemeen.
Performance wise heeft Stefan zeker een punt, daar valt zeker wat uit te halen. Ook als je gaat kijke naar de onderhoudbaarheid.

Mvg,
Tim

ditismenno · 16 December 2013

Citaat van Tim

Hallo,

Let op met HTMLEntitities dat je dit wel goed doet. Standaard geberuik is niet voldoende tegen XSS over het algemeen.
Performance wise heeft Stefan zeker een punt, daar valt zeker wat uit te halen. Ook als je gaat kijke naar de onderhoudbaarheid.

Mvg,
Tim

Is HTMLEntitities nou alleen nodig met echo of ook bij query input?

Beste ik heb nu weer een stukje code geschreven maar ik weet niet waarom hij niets echo't ik hoop dat iemand de fout ziet:

PHP

$exec5 = $mysqli->prepare("SELECT id,name FROM `topics` WHERE catid = ? ORDER BY id DESC LIMIT 0,1");
$exec5 -> bind_param("i", $id);
if ($exec5->execute) {
	$count5 = $exec5->num_rows;
	while ($topic2 = $exec5->fetch()) {
		if ($count5 > 0){
			$lastid = $topic2['id'];
			$lastname = $topic2['name'];
		} else {
			$lastid = "/forum";
			$lastname = "Geen topic's";
		}
	}
}

Toon Meer

WHMCSAddons · 17 December 2013

Citaat van ditismenno
Is HTMLEntitities nou alleen nodig met echo of ook bij query input?

Beste ik heb nu weer een stukje code geschreven maar ik weet niet waarom hij niets echo't ik hoop dat iemand de fout ziet:
PHP
$exec5 = $mysqli->prepare("SELECT id,name FROM `topics` WHERE catid = ? ORDER BY id DESC LIMIT 0,1");
$exec5 -> bind_param("i", $id);
if ($exec5->execute) {
	$count5 = $exec5->num_rows;
	while ($topic2 = $exec5->fetch()) {
		if ($count5 > 0){
			$lastid = $topic2['id'];
			$lastname = $topic2['name'];
		} else {
			$lastid = "/forum";
			$lastname = "Geen topic's";
		}
	}
}
Toon Meer

Misschien omdat er geen echo of print functie instaat die je de waarde kan tonen, als ik uitga van dit gedeelte tenminste.

ditismenno · 17 December 2013

Sorry de code staat er zo:

PHP

$exec5 = $mysqli->prepare("SELECT id,name FROM `topics` WHERE catid = ? ORDER BY id DESC LIMIT 0,1");
if ($exec5->execute(array($id))) {
	$count5 = $exec5->num_rows;
	while ($topic2 = $exec5->fetch()) {
		if ($count5 > 0){
			$lastid = $topic2['id'];
			$lastname = $topic2['name'];
		} else {
			$lastid = "/forum";
			$lastname = "Geen topic's";
		}
	}
	echo '
		<tr>
			<td><a href="cat/'.$id.'">'.$name.'</a></td>
			<td><div class="topic"><span>'.$topics.'</span> topic\'s<br /> <span>'.$reacties.'</span> reacties</td></div>
			<td><div class="lasttopic"><a href="'.$lastid.'">'.$lastname.' 1</a></div></td>
		</tr>
	';
}

Toon Meer

Maar nu echo't hij niets dus waarschijnlijk is er iets mis met de query.

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

[SQL]Veilig maken :D

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen