Er zijn maar een paar mogelijkheden met PDO (null, bool, int en string). Je kunt makkelijk via PHP achterhalen welk type je variabele is (bv met is_null(), is_bool() en is_int()). PDO::PARAM_STR gebruik je dan als fallback als het niet een van de andere typen is.quote:Op zaterdag 19 juli 2014 09:12 schreef remi1986 het volgende:
[..]
Omdat ik de functie zo had gemaakt dat je daar een array ingooit met column=>value.
Dit kan dus van alles zijn. Ik weet dus van tevoren niet wat voor waarde erin zit
Hmm ik zie het inderdaad. Dan kan ik beter gewoon validatie via PHP doen en dan heb ik dat hele bindParam niet nodig.quote:Op zaterdag 19 juli 2014 09:27 schreef Tijn het volgende:
[..]
Er zijn maar een paar mogelijkheden met PDO (null, bool, int en string). Je kunt makkelijk via PHP achterhalen welk type je variabele is (bv met is_null(), is_bool() en is_int()). PDO::PARAM_STR gebruik je dan als fallback als het niet een van de andere typen is.
Ik zou juist gebruik maken van het feit dat je met bindParam() automatische escaping kado krijgt waardoor SQL-injectie wordt voorkomen. Dat dat niet gebeurt met de mysql_-functies is de voornaamste reden dat ze het aan het uitfaseren zijn.quote:Op zaterdag 19 juli 2014 09:43 schreef remi1986 het volgende:
[..]
Hmm ik zie het inderdaad. Dan kan ik beter gewoon validatie via PHP doen en dan heb ik dat hele bindParam niet nodig.
Zo doe ik het ookquote:Op zaterdag 19 juli 2014 09:27 schreef Tijn het volgende:
[..]
Er zijn maar een paar mogelijkheden met PDO (null, bool, int en string). Je kunt makkelijk via PHP achterhalen welk type je variabele is (bv met is_null(), is_bool() en is_int()). PDO::PARAM_STR gebruik je dan als fallback als het niet een van de andere typen is.
escaping gebeurt toch middels de prepare functie? Of heb je daar echt de bindParam functie voor nodig?quote:Op zaterdag 19 juli 2014 09:47 schreef Tijn het volgende:
[..]
Ik zou juist gebruik maken van het feit dat je met bindParam() automatische escaping kado krijgt waardoor SQL-injectie wordt voorkomen. Dat dat niet gebeurt met de mysql_-functies is de voornaamste reden dat ze het aan het uitfaseren zijn.
Als je prepare gebruikt, hoe stop je de variabelen er dan in? Ik doe dat met bindParam, maar ik weet eigenlijk niet eens of het ook anders kanquote:Op zaterdag 19 juli 2014 09:48 schreef remi1986 het volgende:
[..]
escaping gebeurt toch middels de prepare functie? Of heb je daar echt de bindParam functie voor nodig?
quote:Op zaterdag 19 juli 2014 09:50 schreef Tijn het volgende:
[..]
Als je prepare gebruikt, hoe stop je de variabelen er dan in? Ik doe dat met bindParam, maar ik weet eigenlijk niet eens of het ook anders kan
Zo dus:quote:So what's going on here? The prepare method sends the query to the server, and it's compiled with the '?' placeholders to be used as expected arguments. The execute method sends the arguments to the server and runs the compiled statement. Since the query and the dynamic parameters are sent separately, there is no way that any SQL that is in those parameters can be executed... so NO SQL INJECTION can occur! This is a much better and safer solution than concatenating strings together.
1 2 3 4 | <?php $stmt = $db->prepare("INSERT INTO table(field1,field2,field3,field4,field5) VALUES(:field1,:field2,:field3,:field4,:field5)"); $stmt->execute(array(':field1' => $field1, ':field2' => $field2, ':field3' => $field3, ':field4' => $field4, ':field5' => $field5)); ?> |
Nee inderdaad. Ben er inmiddels al uit hoe ik het hebben wil. Ik laat dat bindParam gewoon weg, zodat ik dynamische insert, update en delete functies kan maken, waar ik gewoon een tabelnaam en array ingooi met column=>value.quote:Op zaterdag 19 juli 2014 09:54 schreef Tijn het volgende:
Ah, ja. Ik denk eigenlijk dat het dan niet zoveel uitmaakt.
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.quote:Op zaterdag 19 juli 2014 09:59 schreef remi1986 het volgende:
[..]
Nee inderdaad. Ben er inmiddels al uit hoe ik het hebben wil. Ik laat dat bindParam gewoon weg, zodat ik dynamische insert, update en delete functies kan maken, waar ik gewoon een tabelnaam en array ingooi met column=>value.
dat zou ik kunnen opvangen door van de tabelnaam ook een parameter te makenquote:Op zaterdag 19 juli 2014 10:02 schreef Light het volgende:
[..]
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.
Volgens mij kun je niet alle onderdelen van een query via bindParam meegeven, o.a. table names en velden achter de SELECT etc.quote:Op zaterdag 19 juli 2014 10:10 schreef remi1986 het volgende:
[..]
dat zou ik kunnen opvangen door van de tabelnaam ook een parameter te maken
dus INSERT INTO :table
en dan :table meegeven in de array of voor deze wel bindParam te gebruiken.
De tabelnaam door de gebruiker laten invullen lijkt me sowieso niet handig.quote:Op zaterdag 19 juli 2014 10:02 schreef Light het volgende:
[..]
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.
Correct. Tabelnamen en kolomnamen kun je niet op die manier meegeven, al was het maar omdat je daar niets aan kunt 'preparen'.quote:Op zaterdag 19 juli 2014 10:24 schreef Sitethief het volgende:
[..]
Volgens mij kun je niet alle onderdelen van een query via bindParam meegeven, o.a. table names en velden achter de SELECT etc.
True, maar het is wel iets waar je je bewust van moet zijn bij het schrijven van de code.quote:Op zaterdag 19 juli 2014 10:34 schreef mstx het volgende:
[..]
De tabelnaam door de gebruiker laten invullen lijkt me sowieso niet handig.
Als het niet door de gebruiker wordt ingevuld hoef je het ook niet te escapen.
Hardcoded via PHP meegeven, is het dan nog mogelijk? (SQL Injection?)quote:Op zaterdag 19 juli 2014 10:49 schreef Light het volgende:
[..]
Correct. Tabelnamen en kolomnamen kun je niet op die manier meegeven, al was het maar omdat je daar niets aan kunt 'preparen'.
1 2 3 | <?php $db->insert("games", array("game_start" => date("Y-m-d H:i:s"))); ?> |
1 2 3 4 5 6 7 | <?php function insert($table, $data)} global $db; $db->prepare("INSERT INTO $table .... "); } ?> |
Nee, SQL-injectie gebeurt op het moment dat je gebruikersinput in je query stopt.quote:Op zaterdag 19 juli 2014 11:10 schreef remi1986 het volgende:
[..]
Hardcoded via PHP meegeven, is het dan nog mogelijk? (SQL Injection?)
[ code verwijderd ]
[ code verwijderd ]
Dat is voor Symfony2, hij vraagt voor ZF2.quote:Op dinsdag 22 juli 2014 09:45 schreef KomtTijd... het volgende:
Dat kun je aangeven dmv annotations.
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
Daar werk ik nu ook mee, ik vroeg me alleen af of er net als in Symfony2 een geautomatiseerd tooltje was om variabelen te declareren, waarna je bijv kon aangeven of het om een string of integer gaat. Ik begin net pas met Doctrine, dus dat zou het voor mij (in het begin in elk geval) wat makkelijker makenquote:Op dinsdag 22 juli 2014 16:42 schreef Tijn het volgende:
Kun je dit niet gewoon gebruiken?
http://docs.doctrine-project.org/en/2.0.x/reference/tools.html
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |