DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Er zijn maar een paar mogelijkheden met PDO (null, bool, int en string). Je kunt makkelijk via PHP achterhalen welk type je variabele is (bv met is_null(), is_bool() en is_int()). PDO::PARAM_STR gebruik je dan als fallback als het niet een van de andere typen is.quote:Op zaterdag 19 juli 2014 09:12 schreef remi1986 het volgende:
[..]
Omdat ik de functie zo had gemaakt dat je daar een array ingooit met column=>value.
Dit kan dus van alles zijn. Ik weet dus van tevoren niet wat voor waarde erin zit
Hmm ik zie het inderdaad. Dan kan ik beter gewoon validatie via PHP doen en dan heb ik dat hele bindParam niet nodig.quote:Op zaterdag 19 juli 2014 09:27 schreef Tijn het volgende:
[..]
Er zijn maar een paar mogelijkheden met PDO (null, bool, int en string). Je kunt makkelijk via PHP achterhalen welk type je variabele is (bv met is_null(), is_bool() en is_int()). PDO::PARAM_STR gebruik je dan als fallback als het niet een van de andere typen is.
Ik zou juist gebruik maken van het feit dat je met bindParam() automatische escaping kado krijgt waardoor SQL-injectie wordt voorkomen. Dat dat niet gebeurt met de mysql_-functies is de voornaamste reden dat ze het aan het uitfaseren zijn.quote:
[..]
Hmm ik zie het inderdaad. Dan kan ik beter gewoon validatie via PHP doen en dan heb ik dat hele bindParam niet nodig.
Zo doe ik het ookquote:
[..]
Er zijn maar een paar mogelijkheden met PDO (null, bool, int en string). Je kunt makkelijk via PHP achterhalen welk type je variabele is (bv met is_null(), is_bool() en is_int()). PDO::PARAM_STR gebruik je dan als fallback als het niet een van de andere typen is.
Op donderdag 2 juli 2009 22:41 schreef RTB het volgende:
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
escaping gebeurt toch middels de prepare functie? Of heb je daar echt de bindParam functie voor nodig?quote:Op zaterdag 19 juli 2014 09:47 schreef Tijn het volgende:
[..]
Ik zou juist gebruik maken van het feit dat je met bindParam() automatische escaping kado krijgt waardoor SQL-injectie wordt voorkomen. Dat dat niet gebeurt met de mysql_-functies is de voornaamste reden dat ze het aan het uitfaseren zijn.
Als je prepare gebruikt, hoe stop je de variabelen er dan in? Ik doe dat met bindParam, maar ik weet eigenlijk niet eens of het ook anders kanquote:
[..]
escaping gebeurt toch middels de prepare functie? Of heb je daar echt de bindParam functie voor nodig?
quote:Op zaterdag 19 juli 2014 09:50 schreef Tijn het volgende:
[..]
Als je prepare gebruikt, hoe stop je de variabelen er dan in? Ik doe dat met bindParam, maar ik weet eigenlijk niet eens of het ook anders kan
Zo dus:quote:So what's going on here? The prepare method sends the query to the server, and it's compiled with the '?' placeholders to be used as expected arguments. The execute method sends the arguments to the server and runs the compiled statement. Since the query and the dynamic parameters are sent separately, there is no way that any SQL that is in those parameters can be executed... so NO SQL INJECTION can occur! This is a much better and safer solution than concatenating strings together.
| 1 2 3 4 | <?php $stmt = $db->prepare("INSERT INTO table(field1,field2,field3,field4,field5) VALUES(:field1,:field2,:field3,:field4,:field5)"); $stmt->execute(array(':field1' => $field1, ':field2' => $field2, ':field3' => $field3, ':field4' => $field4, ':field5' => $field5)); ?> |
Nee inderdaad. Ben er inmiddels al uit hoe ik het hebben wil. Ik laat dat bindParam gewoon weg, zodat ik dynamische insert, update en delete functies kan maken, waar ik gewoon een tabelnaam en array ingooi met column=>value.quote:
Ah, ja. Ik denk eigenlijk dat het dan niet zoveel uitmaakt.
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.quote:
[..]
Nee inderdaad. Ben er inmiddels al uit hoe ik het hebben wil. Ik laat dat bindParam gewoon weg, zodat ik dynamische insert, update en delete functies kan maken, waar ik gewoon een tabelnaam en array ingooi met column=>value.
dat zou ik kunnen opvangen door van de tabelnaam ook een parameter te makenquote:
[..]
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.
dus INSERT INTO :table
en dan :table meegeven in de array of voor deze wel bindParam te gebruiken.
Volgens mij kun je niet alle onderdelen van een query via bindParam meegeven, o.a. table names en velden achter de SELECT etc.quote:
[..]
dat zou ik kunnen opvangen door van de tabelnaam ook een parameter te maken
dus INSERT INTO :table
en dan :table meegeven in de array of voor deze wel bindParam te gebruiken.
Stroek: Sitethief, die is heel groot en sterk :Y.
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht >:)
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht >:)
De tabelnaam door de gebruiker laten invullen lijkt me sowieso niet handig.quote:
[..]
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.
Als het niet door de gebruiker wordt ingevuld hoef je het ook niet te escapen.
Op donderdag 2 juli 2009 22:41 schreef RTB het volgende:
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
Correct. Tabelnamen en kolomnamen kun je niet op die manier meegeven, al was het maar omdat je daar niets aan kunt 'preparen'.quote:
[..]
Volgens mij kun je niet alle onderdelen van een query via bindParam meegeven, o.a. table names en velden achter de SELECT etc.
True, maar het is wel iets waar je je bewust van moet zijn bij het schrijven van de code.quote:
[..]
De tabelnaam door de gebruiker laten invullen lijkt me sowieso niet handig.
Als het niet door de gebruiker wordt ingevuld hoef je het ook niet te escapen.
Hardcoded via PHP meegeven, is het dan nog mogelijk? (SQL Injection?)quote:
[..]
Correct. Tabelnamen en kolomnamen kun je niet op die manier meegeven, al was het maar omdat je daar niets aan kunt 'preparen'.
| 1 2 3 | <?php $db->insert("games", array("game_start" => date("Y-m-d H:i:s"))); ?> |
| 1 2 3 4 5 6 7 | <?php function insert($table, $data)} global $db; $db->prepare("INSERT INTO $table .... "); } ?> |
Nee, SQL-injectie gebeurt op het moment dat je gebruikersinput in je query stopt.quote:
[..]
Hardcoded via PHP meegeven, is het dan nog mogelijk? (SQL Injection?)
[ code verwijderd ]
[ code verwijderd ]
Nog even terugkomend op dat Doctrine-verhaal, klopt het dat je (afgezien van getters/setters) de entities volledig met de hand moet schrijven? Ik werk met ZF2 en hoopte dat er net als bij (ik meen) Symfony2 een "tooltje/optie" is om kolommen te declareren, waarna je bijv kunt aangeven welke opties je er bij wilt hebben (name, type, nullable etc.).
Hoe doen jullie dit?
Hoe doen jullie dit?
Dat kun je aangeven dmv annotations.
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
Dat is voor Symfony2, hij vraagt voor ZF2.quote:
Dat kun je aangeven dmv annotations.
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
Voor Symfony2 is er inderdaad een hele reeks aan commands voor allerlei dingen van doctirne. Geen idee of dat ook voor ZF2 is.
Daar werk ik nu ook mee, ik vroeg me alleen af of er net als in Symfony2 een geautomatiseerd tooltje was om variabelen te declareren, waarna je bijv kon aangeven of het om een string of integer gaat. Ik begin net pas met Doctrine, dus dat zou het voor mij (in het begin in elk geval) wat makkelijker makenquote:
Kun je dit niet gewoon gebruiken?
http://docs.doctrine-project.org/en/2.0.x/reference/tools.html
