DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Als je vragen hebt over PHP/MySQL, dan zit je hier goed met een vaste kliek guru's en een groot aantal regelmatige bezoekers. Beperk je vragen niet tot "hij doet het niet" of "hij geeft een fout" - onze glazen bol is kapot en we willen graag van je weten wát er niet lukt en wélke foutmelding je precies krijgt
Zie ook:
• PHP Dataverwerking
• Officiële PHP website
• PHP Documentatie
• MySQL Reference Manual
• Yet Another PHP Faq
• PHP Cheat Sheet
• PHP5 Power Programming - boek met uitleg over OOP, Pear, XML, etc
Tutorials:
• W3Schools PHP
• W3Schools SQL
Of je GET of POST gebruikt maakt helemaal niets uit voor de behandeling van de invoer. Het is en blijft user input, en dat is niet te vertrouwen.quote:Op zaterdag 21 april 2012 13:47 schreef themole het volgende:
[..]
Zou het als ik jou was snel oplossen, de onderste site in je signature is al vatbaar daarvoor.
Verander ?id=9 maar eens in ?id='; krijg je meteen een error.
Ja een error, maar dat moeten mensen ook niet zelf gaan invullen natuurlijk, als ik naar google.nl/niks ga krijg ik ook een error.quote:
[..]
Zou het als ik jou was snel oplossen, de onderste site in je signature is al vatbaar daarvoor.
Verander ?id=9 maar eens in ?id='; krijg je meteen een error.
Maar kunnen ze echt schade aanrichten? Want ik heb ook sites voor bedrijven e.d. gemaakt op deze manier.
Wat doet bijvoorbeeld
<?php
'SELECT * FROM `table`
WHERE `string` = "'.mysql_real_escape_string($_GET['foo']).'"
AND `number` = '.intval($_GET['bar']);
?>
dat stukje, die zorgt ervoor dat je alleen maar een woord kan invullen en geen mysql code ofzo?
Bij Google krijg je een error die door Google zelf is gegenereerd. Bij jouw sites krijg je errors die door PHP worden gemaakt. In feite help je hackers door ze informatie te geven over hoe jouw programmatuur in elkaar steekt.quote:Op zaterdag 21 april 2012 13:58 schreef JDx het volgende:
[..]
Ja een error, maar dat moeten mensen ook niet zelf gaan invullen natuurlijk, als ik naar google.nl/niks ga krijg ik ook een error.
Ja, je kunt sowieso alle data in je database uitlezen. Als hetzelfde MySQL-account ook schrijfrechten heeft, kan de database ook worden aangepast.quote:Maar kunnen ze echt schade aanrichten? Want ik heb ook sites voor bedrijven e.d. gemaakt op deze manier.
mysql_real_escape_string() zorgt ervoor dat het niet mogelijk is om uit de quotes die om je query staan te breken. Daardoor blijft alle user-input onderdeel van jouw query en kan een kwaadwillende niet zelf een nieuwe query uitvoeren.quote:Wat doet bijvoorbeeld
<?php
'SELECT * FROM `table`
WHERE `string` = "'.mysql_real_escape_string($_GET['foo']).'"
AND `number` = '.intval($_GET['bar']);
?>
dat stukje, die zorgt ervoor dat je alleen maar een woord kan invullen en geen mysql code ofzo?
Waar zeg ik dat het uitmaakt of je POST of GET gebruikt? Ik geef alleen maar een voorbeeld, in dit geval via GET, maar via POST is het natuurlijk ook niet te vertrouwen.quote:
[..]
Of je GET of POST gebruikt maakt helemaal niets uit voor de behandeling van de invoer. Het is en blijft user input, en dat is niet te vertrouwen.
http://nl.wikipedia.org/wiki/SQL-injectiequote:
[..]
Ja een error, maar dat moeten mensen ook niet zelf gaan invullen natuurlijk, als ik naar google.nl/niks ga krijg ik ook een error.
Maar kunnen ze echt schade aanrichten? Want ik heb ook sites voor bedrijven e.d. gemaakt op deze manier.
Wat doet bijvoorbeeld
<?php
'SELECT * FROM `table`
WHERE `string` = "'.mysql_real_escape_string($_GET['foo']).'"
AND `number` = '.intval($_GET['bar']);
?>
dat stukje, die zorgt ervoor dat je alleen maar een woord kan invullen en geen mysql code ofzo?
Niet altijd serieus
Dat vraagt JDx.quote:
[..]
Waar zeg ik dat het uitmaakt of je POST of GET gebruikt?
Je reageert op een vraag of er post gebruikt moet worden met een opmerking 'zo zou ik het doen'. En dan reageer ik daar weer op.quote:
[..]
Waar zeg ik dat het uitmaakt of je POST of GET gebruikt? Ik geef alleen maar een voorbeeld, in dit geval via GET, maar via POST is het natuurlijk ook niet te vertrouwen.
Ja ik ben bezig, maar zie niet hoe, pm eens hoe je het doet?
Please help ff, want ik heb ook CMS'en gemaakt voor bedrijven, software om medewerkers in te plannen bij Restaurants, etc.
Please help ff, want ik heb ook CMS'en gemaakt voor bedrijven, software om medewerkers in te plannen bij Restaurants, etc.
http://kledingmerken.jdx.nl/single.php?id=44
Je doet ergens $_GET['id'] richting de database, begin dat eerst maar eens te veranderen naar mysql_real_escape_string($_GET['id'])
Beste is om PDO te gebruiken.
Je doet ergens $_GET['id'] richting de database, begin dat eerst maar eens te veranderen naar mysql_real_escape_string($_GET['id'])
Beste is om PDO te gebruiken.
PDO?
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
-edit weg-
Neem aan dat je het nu wel gezien hebt, heeft geen meerwaarde om te laten staan.
[ Bericht 76% gewijzigd door TwenteFC op 21-04-2012 14:23:55 ]
Neem aan dat je het nu wel gezien hebt, heeft geen meerwaarde om te laten staan.
[ Bericht 76% gewijzigd door TwenteFC op 21-04-2012 14:23:55 ]
http://php.net/manual/en/pdo.prepared-statements.phpquote:
PDO?
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
I'm not good with advice.. Can i interest you in a sarcastic comment?
Ik vind intval($_GET['id']) ook goed, dan weet je zeker dat je een getal hebt en niet een string als '9 or 1=1'.quote:Op zaterdag 21 april 2012 14:14 schreef TwenteFC het volgende:
http://kledingmerken.jdx.nl/single.php?id=44
Je doet ergens $_GET['id'] richting de database, begin dat eerst maar eens te veranderen naar mysql_real_escape_string($_GET['id'])
True. Maar als je een hele applicatie moet omschrijven, is dat best veel werk.quote:Beste is om PDO te gebruiken.
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1quote:
PDO?
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
Als je websites hebt voor bedrijven kan je dit soort dingen niet maken. Dan maar omschrijven. Maar dit is gewoon linkquote:
[..]
Ik vind intval($_GET['id']) ook goed, dan weet je zeker dat je een getal hebt en niet een string als '9 or 1=1'.
[..]
True. Maar als je een hele applicatie moet omschrijven, is dat best veel werk.
I'm not good with advice.. Can i interest you in a sarcastic comment?
Verrekquote:
[..]
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Mooi dat ik dit nu ontdek en niet dat mn baas opeens met een boze klant komt
Ik zou liever voor de snellere oplossing kiezen, denk ik. Dat omschrijven kan altijd nog, eerst moet de boel veilig worden.quote:Op zaterdag 21 april 2012 14:19 schreef Civilian het volgende:
[..]
Als je websites hebt voor bedrijven kan je dit soort dingen niet maken. Dan maar omschrijven. Maar dit is gewoon link
Het probleem is alleen dat er misschien al een uittreksel van je hele database op internet rondzwerft. Je wachtwoorden zijn wel salted encrypted enzo? Die zou ik ook maar even wijzigen als ik jou was.quote:
[..]
Verrek
Mooi dat ik dit nu ontdek en niet dat mn baas opeens met een boze klant komt
Inderdaad, persoonlijk had ik hem op zwart gegooid.. alles nagelopen, en dan weer online gegooid.quote:
[..]
Ik zou liever voor de snellere oplossing kiezen, denk ik. Dat omschrijven kan altijd nog, eerst moet de boel veilig worden.
Om vervolgens alles om te bouwen.
PDO is sowieso iets dat de moeite waard is om jezelf aan te leren.
Wachtwoorden staan er verder niet in volgens mij.quote:Op zaterdag 21 april 2012 14:22 schreef Tijn het volgende:
[..]
Het probleem is alleen dat er misschien al een uittreksel van je hele database op internet rondzwerft. Je wachtwoorden zijn wel salted encrypted enzo? Die zou ik ook maar even wijzigen als ik jou was.
Wees blij dat er nog geen grapjas is geweest die een DELETE statement heeft uitgevoerdquote:
[..]
Verrek
Mooi dat ik dit nu ontdek en niet dat mn baas opeens met een boze klant komt
Geen enkel wachtwoord in geen enkele tabel van je CMS?quote:
[..]
Wachtwoorden staan er verder niet in volgens mij.
