Het is ook niet echt heel fraai om al die variabelen zo in je string quotes te houden, liever:quote:Op donderdag 6 oktober 2011 15:22 schreef dirkjo het volgende:
Waarschijnlijk zie ik iets snoeihard over het hoofd, maar ik krijg constant een error op deze lijn:
[ code verwijderd ]
[..]
1 | `profile_image` = '" . $image . "' |
Op dit moment krijgt elke variabel een mysql_remove_special_string(), zijn er nog meer die ik er aan zou moeten toevoegen?quote:Op donderdag 6 oktober 2011 15:25 schreef GlowMouse het volgende:
Echo je query, en let op SQL injection.
Ga het even aanpassen en proberen.quote:Op donderdag 6 oktober 2011 15:33 schreef Luchtkoker het volgende:
[..]
Het is ook niet echt heel fraai om al die variabelen zo in je string quotes te houden, liever:
[ code verwijderd ]
(let op, dat is dus ' " en " ') etc. Ik weet niet of dat nu de boosdoener is, maar alsnog.
remove_special? het koekje al nietquote:Op donderdag 6 oktober 2011 15:40 schreef dirkjo het volgende:
[..]
Op dit moment krijgt elke variabel een mysql_remove_special_string(),
Sorry, real_escape_string.. Geen flauw idee hoe ik aan remove special komquote:Op donderdag 6 oktober 2011 15:43 schreef GlowMouse het volgende:
[..]
remove_special? het koekje al niet
en ik mis de echo van de query.
Dan ga ik die even lezenquote:Op donderdag 6 oktober 2011 16:06 schreef GlowMouse het volgende:
http://www.php.net/manual/en/ heeft een heel hoofdstuk over beveiliging.
Als het werkt wanneer je er ftp voorzet, wat is dan je probleem?quote:Op zondag 9 oktober 2011 23:40 schreef boem-dikkie het volgende:
Oké. Nog even over mijn vorige vraag.
Ik heb het voor elkaar gekregen om met ftp_nlist op mijn eigen server de bestandsnamen van een andere FTP server op te halen.. Ik moet deze foto's nu laten zien. Nou zou je zeggen dat dat wel wil met gewoon <img> maar niet dus. Als ik ze link naar http://zijnserver.com/foto/bla.png werkt het niet, zodra ik er FTP voor zet werkt het wel. Het pad is dus juist, alleen er gebeurd iets waardoor ik op die andere site via dat pad de foto's niet kan vinden.
Die andere website is een NAS waar via dynDNS een naam wordt gegeven aan het IPadres.
Iemand (die mijn warrige verhaal snapt) een idee hoe ik dit kan oplossen?
Het probleem is dat als mensen dan naar die pagina gaan ze moeten inloggen.quote:Op zondag 9 oktober 2011 23:53 schreef Thomass het volgende:
[..]
Als het werkt wanneer je er ftp voorzet, wat is dan je probleem?
Ok, maar ftp://pad/ is iets _compleet_ anders dan http://pad/. Het een heeft absoluut niets met het ander te maken en dus kun je niet zomaar ftp in http veranderen en verwachten dat het werkt.quote:Op zondag 9 oktober 2011 23:56 schreef boem-dikkie het volgende:
[..]
Het probleem is dat als mensen dan naar die pagina gaan ze moeten inloggen.
Ik wil dat ze gewoon de foto's kunnen zien.
Dan moet je zorgen voor een webserver die de foto's kan weergeven.quote:Op zondag 9 oktober 2011 23:56 schreef boem-dikkie het volgende:
[..]
Ik wil dat ze gewoon de foto's kunnen zien.
of je downloadt ze met php naar je eigen serverquote:Op maandag 10 oktober 2011 01:00 schreef Tijn het volgende:
[..]
Dan moet je zorgen voor een webserver die de foto's kan weergeven.
Heb je zelf beheer over die server waar je het met FTP vandaan moet halen ? Is er een http:// link die naar dezelfde map als jouw FTP map verwijst ?quote:Op zondag 9 oktober 2011 23:40 schreef boem-dikkie het volgende:
Oké. Nog even over mijn vorige vraag.
Ik heb het voor elkaar gekregen om met ftp_nlist op mijn eigen server de bestandsnamen van een andere FTP server op te halen.. Ik moet deze foto's nu laten zien. Nou zou je zeggen dat dat wel wil met gewoon <img> maar niet dus. Als ik ze link naar http://zijnserver.com/foto/bla.png werkt het niet, zodra ik er FTP voor zet werkt het wel. Het pad is dus juist, alleen er gebeurd iets waardoor ik op die andere site via dat pad de foto's niet kan vinden.
Die andere website is een NAS waar via dynDNS een naam wordt gegeven aan het IPadres.
Iemand (die mijn warrige verhaal snapt) een idee hoe ik dit kan oplossen?
Das nogal logisch, want FTP en HTTP zijn 2 compleet andere dingen. Je FTP is beveiligd met een username en pass. Trek gewoon via FTP die directory leeg, sla de foto`s lokaal op en toon ze dan, of kijk naar de mogelijkheid om een webserver op je NAS te draaien.quote:Op zondag 9 oktober 2011 23:56 schreef boem-dikkie het volgende:
[..]
Het probleem is dat als mensen dan naar die pagina gaan ze moeten inloggen.
Ik wil dat ze gewoon de foto's kunnen zien.
Dat snap ik wel. Ik snap alleen niet waarom ik via HTTP niet bij die files kan en via FTP wel. Diegene die die FTP server gebruikt heeft een of ander programma'tje draaien die alle namen van bestanden veranderd in een random naam van cijfers en letters.quote:Op maandag 10 oktober 2011 07:10 schreef Scorpie het volgende:
[..]
Das nogal logisch, want FTP en HTTP zijn 2 compleet andere dingen. Je FTP is beveiligd met een username en pass. Trek gewoon via FTP die directory leeg, sla de foto`s lokaal op en toon ze dan, of kijk naar de mogelijkheid om een webserver op je NAS te draaien.
Draait er uberhaupt een HTTP server op die NAS?quote:Op maandag 10 oktober 2011 09:19 schreef boem-dikkie het volgende:
[..]
Dat snap ik wel. Ik snap alleen niet waarom ik via HTTP niet bij die files kan en via FTP wel. Diegene die die FTP server gebruikt heeft een of ander programma'tje draaien die alle namen van bestanden veranderd in een random naam van cijfers en letters.
Ja want hij heeft ook twee andere websites draaien op die NAS.quote:Op maandag 10 oktober 2011 09:23 schreef Scorpie het volgende:
[..]
Draait er uberhaupt een HTTP server op die NAS?
Dan moet je er dus alleen voor zorgen dat je erachter komt welk http adres koppelt aan de ftp folderquote:Op maandag 10 oktober 2011 09:26 schreef boem-dikkie het volgende:
[..]
Ja want hij heeft ook twee andere websites draaien op die NAS.
Wellicht handig. Zal even kijken.quote:Op maandag 10 oktober 2011 09:33 schreef GI het volgende:
[..]
Dan moet je er dus alleen voor zorgen dat je erachter komt welk http adres koppelt aan de ftp folder
True.quote:Op maandag 10 oktober 2011 09:37 schreef GI het volgende:
Om even een cliche door de bocht te gooien :
"Denk in oplossingen, niet in problemen". Ze staat op de server, de server heeft een webserver. 1+1=2.
Omdat de document root van de webserver blijkbaar niet hetzelfde is als de homefolder van de FTP-user.quote:Op maandag 10 oktober 2011 09:19 schreef boem-dikkie het volgende:
[..]
Dat snap ik wel. Ik snap alleen niet waarom ik via HTTP niet bij die files kan en via FTP wel.
Je zou de standaard FTP functies van PHP kunnen gebruiken en het script dmv een cronjob elke 12 uur laten uitvoeren.quote:Op dinsdag 11 oktober 2011 11:32 schreef boem-dikkie het volgende:
Ik heb het uitgevogeld. De map /photo/ waar de foto's in staan die ik wil bereiken is beheerd door een programma Photo Station op de NAS die als webserver dient. Hierdoor is het dus onmogelijk om zonder het daadwerkelijke Photo Station die foto's op te halen en neer te plempen op een andere website..
Weten jullie of er misschien een functie is waarmee ik gemakkelijk in kan loggen op die FTP (nas), elke 12 uur check op updates en dan alles automatisch kopieer naar de FTP waar ook de website staat die de foto's moet laten zien?
SPOILEROm spoilers te kunnen lezen moet je zijn ingelogd. Je moet je daarvoor eerst gratis Registreren. Ook kun je spoilers niet lezen als je een ban hebt.
1 2 | article id, text, date |
1 2 | feedback id, article_id, choice, date |
1 | SELECT id, COUNT(feedback.id) AS aantal FROM article LEFT JOIN feedback ON (article.id = feedback.article_id) GROUP BY id |
1 | COUNT(feedback.choice = 1 / COUNT(feedback.id) * 100) AS percentage |
1 | (SUM(IF(feedback.choice = 1,1,0)) / COUNT(*) * 100) AS percentage |
1 | (SUM(feedback.choice) / COUNT(*) * 100) AS percentage |
http://forums.mysql.com/read.php?52,134684,134741#msg-134741quote:Op donderdag 13 oktober 2011 14:58 schreef remi1986 het volgende:
Ik ben bezig met een klein artikel waardering systeem.
Op een pagina kan een gebruiker aangeven of die pagina 'nuttig' was (dit is ja/nee, wat in de database wordt neergezet als 1/0).
Nu wil ik vanuit een soort van beheer systeem dit uitlezen.
De structuur is heel simpel:
De tabel met artikelen
[ code verwijderd ]
De tabel met feedback
[ code verwijderd ]
Ik heb met een simpele query met een left join de tabellen aan elkaar, alleen wil ik het percentage weten welke op "ja" (=1) hebben geklikt
[ code verwijderd ]
Dit is in het kort de query zoals ik die nu heb (ik heb nog wat aliassen toegevoegd, maar is niet relevant). De query werkt zover. Van ieder artikel, krijg ik daarnaast het aantal waarderingen. Nu wil ik weten hoeveel van die waarderingen dus 1 zijn. Dit krijg ik niet voor elkaar. Dacht zelf in de richting van
[ code verwijderd ]
Wie kan me helpen? Kan het eventueel wel in PHP doen, maar het is mooier en scheelt code als het direct met MySQL kan.
Super, dit is precies wat ik zocht!quote:Op donderdag 13 oktober 2011 15:02 schreef GlowMouse het volgende:
Denormaliseer en stop het aantal in de tabel article. Anders zoek je:
[ code verwijderd ]
of simpeler:
[ code verwijderd ]
Ik had hetzelfde probleem en heb het ook ongeveer zo opgelost, maar dan met sha512.quote:Op vrijdag 14 oktober 2011 09:59 schreef Chandler het volgende:
Vraag aan de experts!
Ik wil een site aanpassen qua 'wachtwoorden'. Nu gebruikt de site standaard MD5 (die met een simpele rainbowtable kan gehacked worden). Nu wil ik deze aanpassen en omzetten naar sha oid.
Alleen is het niet mogelijk om het originele wachtwoord te achterhalen, hoe zou ik deze user base toch beter kunnen beschermen.
Zelf zit ik te denken aan dit.
VAN DB -> MD5(PASS) -> SHA1(MD5 - SALT - MD5) -> NAAR DB
Idee of zit ik verkeerd te denken?
Op tweakers.net hebben ze op het moment een overgangsperiode. Ze zijn overgegaan naar een nieuwe manier van hashen. De eerste keer dat je inlogt wordt dat nog geconfirmeerd met de oude hash en wordt direct een nieuwe hash aangemaakt en de oude verwijderd (neem ik aan).quote:Op vrijdag 14 oktober 2011 09:59 schreef Chandler het volgende:
Vraag aan de experts!
Ik wil een site aanpassen qua 'wachtwoorden'. Nu gebruikt de site standaard MD5 (die met een simpele rainbowtable kan gehacked worden). Nu wil ik deze aanpassen en omzetten naar sha oid.
Alleen is het niet mogelijk om het originele wachtwoord te achterhalen, hoe zou ik deze user base toch beter kunnen beschermen.
Zelf zit ik te denken aan dit.
VAN DB -> MD5(PASS) -> SHA1(MD5 - SALT - MD5) -> NAAR DB
Idee of zit ik verkeerd te denken?
Dat laatste heb je natuurlijk geen hol aan. Als ze je userdatabase hebben, hebben ze ook je salts. Kun je net zo goed de username als een van de salts gebruiken.quote:Op vrijdag 14 oktober 2011 10:16 schreef Koepad het volgende:
Maar je kunt idd ook dubbel hashen, lijkt me weinig mis mee. En voor de salt kun je idd vanalles gebruiken wat je opslaat over een user: gebruikersnaam, registratiedatum, desnoods met een random-string generator voor iedere user een speciale saltstring maken en opslaan in je users tabel.
bcrypt is overkill. Een sterke dynamische salt voor elke user met sha(512) is voldoende voor de meesten. Zodra je hele database kan worden ingekeken ben je een stuk sterker met een dynamisch stuk salt.quote:Op vrijdag 14 oktober 2011 10:17 schreef Catbert het volgende:
Zowel SHA als MD5 zijn niet veilig. Rainbow tables is niet je grootste probleem. Je grootste probleem is dat zelfs SHA te snel is. GPU bruteforcen is tegenwoordig de manier waarop deze passwords gekraakt worden, niet d.m.v. rainbow tables want die zijn te verslaan met een simpele salt.
Ter info:
http://chargen.matasano.c(...)to-know-about-s.html
Conclusie: je moet bcrypt gebruiken, en geen MD5 of SHA.
http://stackoverflow.com/(...)ing-passwords-in-php
Dat laatste heb je natuurlijk geen hol aan. Als ze je userdatabase hebben, hebben ze ook je salts. Kun je net zo goed de username als een van de salts gebruiken.
Dan hebben ze een stukje van je salt. Ze weten niet hoe vaak jij die nog achterstevoren, binnenstebuiten, base64 en md5't. En wat je nog meer aan gegevens gebruikt.quote:Op vrijdag 14 oktober 2011 10:17 schreef Catbert het volgende:
Dat laatste heb je natuurlijk geen hol aan. Als ze je userdatabase hebben, hebben ze ook je salts. Kun je net zo goed de username als een van de salts gebruiken.
Ik zeg niet dat je niet moet salten. Ik bedoel alleen dat een oplossing puur op MD5 en/of SHA een beetje te wensen overlaat omdat tegenwoordig passwords gewoon gebruteforced worden. Natuurlijk is bcrypt voor een simpele site misschien wat overkill, maar bcrypt is tenminste redelijk future-proof.quote:Op vrijdag 14 oktober 2011 10:24 schreef Ouqz het volgende:
bcrypt is overkill. Een sterke dynamische salt voor elke user met sha(512) is voldoende voor de meesten. Zodra je hele database kan worden ingekeken ben je een stuk sterker met een dynamisch stuk salt.
Is het idee van salten niet dat bruteforcen weinig zin heeft en dat daarom MD5 of SHA1 opeens helemaal niet zo brak meer zijn?quote:Op vrijdag 14 oktober 2011 10:29 schreef Catbert het volgende:
[..]
Ik zeg niet dat je niet moet salten. Ik bedoel alleen dat een oplossing puur op MD5 en/of SHA een beetje te wensen overlaat omdat tegenwoordig passwords gewoon gebruteforced worden.
Het gaat er voornamelijk om wat je doet als je hele usertabel uitlekt.quote:Op vrijdag 14 oktober 2011 10:34 schreef ursel het volgende:
Je bescherm je toch wel tegen bruteforcen neem ik aan?
Na X aantal mislukte pogingen binnen Y periode is gewoon geen toegang.
Zie daarvoor weer de reactie van Koepadquote:Op vrijdag 14 oktober 2011 10:36 schreef Tijn het volgende:
[..]
Het gaat er voornamelijk om wat je doet als je hele usertabel uitlekt.
quote:Op vrijdag 14 oktober 2011 10:28 schreef Koepad het volgende:
[..]
Dan hebben ze een stukje van je salt. Ze weten niet hoe vaak jij die nog achterstevoren, binnenstebuiten, base64 en md5't. En wat je nog meer aan gegevens gebruikt.
En bovendien het hele idee van een salt is dat het onmogelijk wordt om hashes te vergelijken. Daarvoor boeit het nieteens of de aanvaller weet hoe de salt eruit ziet. Als ze maar uniek zijn.
Nee, bruteforcen kun je altijd doen. salten doe je zodat als iemand je database te pakken krijgt, hij niet simpelweg de hashes kan vergelijken met een andere database met hashes die hij gemaakt heeft met zijn "check wie jou geblokkeerd heeft op msn"-website.quote:Op vrijdag 14 oktober 2011 10:32 schreef Tijn het volgende:
[..]
Is het idee van salten niet dat bruteforcen weinig zin heeft en dat daarom MD5 of SHA1 opeens helemaal niet zo brak meer zijn?
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |