DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Als je prepare gebruikt, hoe stop je de variabelen er dan in? Ik doe dat met bindParam, maar ik weet eigenlijk niet eens of het ook anders kanquote:Op zaterdag 19 juli 2014 09:48 schreef remi1986 het volgende:
[..]
escaping gebeurt toch middels de prepare functie? Of heb je daar echt de bindParam functie voor nodig?
quote:Op zaterdag 19 juli 2014 09:50 schreef Tijn het volgende:
[..]
Als je prepare gebruikt, hoe stop je de variabelen er dan in? Ik doe dat met bindParam, maar ik weet eigenlijk niet eens of het ook anders kan
Zo dus:quote:So what's going on here? The prepare method sends the query to the server, and it's compiled with the '?' placeholders to be used as expected arguments. The execute method sends the arguments to the server and runs the compiled statement. Since the query and the dynamic parameters are sent separately, there is no way that any SQL that is in those parameters can be executed... so NO SQL INJECTION can occur! This is a much better and safer solution than concatenating strings together.
| 1 2 3 4 | <?php $stmt = $db->prepare("INSERT INTO table(field1,field2,field3,field4,field5) VALUES(:field1,:field2,:field3,:field4,:field5)"); $stmt->execute(array(':field1' => $field1, ':field2' => $field2, ':field3' => $field3, ':field4' => $field4, ':field5' => $field5)); ?> |
Nee inderdaad. Ben er inmiddels al uit hoe ik het hebben wil. Ik laat dat bindParam gewoon weg, zodat ik dynamische insert, update en delete functies kan maken, waar ik gewoon een tabelnaam en array ingooi met column=>value.quote:Op zaterdag 19 juli 2014 09:54 schreef Tijn het volgende:
Ah, ja. Ik denk eigenlijk dat het dan niet zoveel uitmaakt.
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.quote:
[..]
Nee inderdaad. Ben er inmiddels al uit hoe ik het hebben wil. Ik laat dat bindParam gewoon weg, zodat ik dynamische insert, update en delete functies kan maken, waar ik gewoon een tabelnaam en array ingooi met column=>value.
dat zou ik kunnen opvangen door van de tabelnaam ook een parameter te makenquote:
[..]
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.
dus INSERT INTO :table
en dan :table meegeven in de array of voor deze wel bindParam te gebruiken.
Volgens mij kun je niet alle onderdelen van een query via bindParam meegeven, o.a. table names en velden achter de SELECT etc.quote:
[..]
dat zou ik kunnen opvangen door van de tabelnaam ook een parameter te maken
dus INSERT INTO :table
en dan :table meegeven in de array of voor deze wel bindParam te gebruiken.
Stroek: Sitethief, die is heel groot en sterk :Y.
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht >:)
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht >:)
De tabelnaam door de gebruiker laten invullen lijkt me sowieso niet handig.quote:
[..]
Let er dan wel op dat die tabelnaam niet automatisch ge-escaped wordt en dat je daarmee dus nog wel potentieel sql-injection hebt.
Als het niet door de gebruiker wordt ingevuld hoef je het ook niet te escapen.
Op donderdag 2 juli 2009 22:41 schreef RTB het volgende:
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
Correct. Tabelnamen en kolomnamen kun je niet op die manier meegeven, al was het maar omdat je daar niets aan kunt 'preparen'.quote:
[..]
Volgens mij kun je niet alle onderdelen van een query via bindParam meegeven, o.a. table names en velden achter de SELECT etc.
True, maar het is wel iets waar je je bewust van moet zijn bij het schrijven van de code.quote:
[..]
De tabelnaam door de gebruiker laten invullen lijkt me sowieso niet handig.
Als het niet door de gebruiker wordt ingevuld hoef je het ook niet te escapen.
Hardcoded via PHP meegeven, is het dan nog mogelijk? (SQL Injection?)quote:
[..]
Correct. Tabelnamen en kolomnamen kun je niet op die manier meegeven, al was het maar omdat je daar niets aan kunt 'preparen'.
| 1 2 3 | <?php $db->insert("games", array("game_start" => date("Y-m-d H:i:s"))); ?> |
| 1 2 3 4 5 6 7 | <?php function insert($table, $data)} global $db; $db->prepare("INSERT INTO $table .... "); } ?> |
Nee, SQL-injectie gebeurt op het moment dat je gebruikersinput in je query stopt.quote:
[..]
Hardcoded via PHP meegeven, is het dan nog mogelijk? (SQL Injection?)
[ code verwijderd ]
[ code verwijderd ]
Nog even terugkomend op dat Doctrine-verhaal, klopt het dat je (afgezien van getters/setters) de entities volledig met de hand moet schrijven? Ik werk met ZF2 en hoopte dat er net als bij (ik meen) Symfony2 een "tooltje/optie" is om kolommen te declareren, waarna je bijv kunt aangeven welke opties je er bij wilt hebben (name, type, nullable etc.).
Hoe doen jullie dit?
Hoe doen jullie dit?
Dat kun je aangeven dmv annotations.
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
Dat is voor Symfony2, hij vraagt voor ZF2.quote:Op dinsdag 22 juli 2014 09:45 schreef KomtTijd... het volgende:
Dat kun je aangeven dmv annotations.
http://symfony.com/doc/cu(...)ting-an-entity-class
De getters en setters en De fysieke database structuur maak je in een paar seconden aan dmv een command-line tool .
Voor Symfony2 is er inderdaad een hele reeks aan commands voor allerlei dingen van doctirne. Geen idee of dat ook voor ZF2 is.
Daar werk ik nu ook mee, ik vroeg me alleen af of er net als in Symfony2 een geautomatiseerd tooltje was om variabelen te declareren, waarna je bijv kon aangeven of het om een string of integer gaat. Ik begin net pas met Doctrine, dus dat zou het voor mij (in het begin in elk geval) wat makkelijker makenquote:
Kun je dit niet gewoon gebruiken?
http://docs.doctrine-project.org/en/2.0.x/reference/tools.html
Als je toch een beginner bent, waarom stap je dan niet over naar Symfony2? Dat is toch wel hét framework op het moment voor PHP. Tenzij je zwaar vastzit aan Zend Framework, zou ik lekker overstappen naar Symfony.
Omdat ik net ZF2 begon door te krijgen 
Maar misschien heb je wel gelijk. De reden waarom ik voor ZF2 koos was omdat ik had begrepen dat het de industriestandaard is
Maar misschien heb je wel gelijk. De reden waarom ik voor ZF2 koos was omdat ik had begrepen dat het de industriestandaard is
Met welke frameworks werken jullie hier zelf eigenlijk? Ik kom de laatste tijd ook steeds meer berichten tegen over Laravel
Keuzes... Keuzes...
Keuzes... Keuzes...
Laravel, en wat CodeIgniter applicaties die we moeten onderhouden.quote:
Met welke frameworks werken jullie hier zelf eigenlijk? Ik kom de laatste tijd ook steeds meer berichten tegen over Laravel
Keuzes... Keuzes...
Wat hij zegt inderdaad, ik zou overwegen over te stappen naar Symfony2quote:
Als je toch een beginner bent, waarom stap je dan niet over naar Symfony2? Dat is toch wel hét framework op het moment voor PHP. Tenzij je zwaar vastzit aan Zend Framework, zou ik lekker overstappen naar Symfony.
Als je ZF2 een beetje begint door te krijgen helpt dat ook voor de overstap naar Symfony2. Ik vond SF2 een stuk makkelijker dan ZF2. En ZF1 was misschien een standaard, maar ZF2 valt tegen waardoor steeds meer mensen overstappen naar SF2quote:
Omdat ik net ZF2 begon door te krijgen
Maar misschien heb je wel gelijk. De reden waarom ik voor ZF2 koos was omdat ik had begrepen dat het de industriestandaard is
Voorlopig nog SF2, maar als er een klant komt die met Laravel werkt of wil werken dan gaan we dat vast ook proberenquote:
Met welke frameworks werken jullie hier zelf eigenlijk? Ik kom de laatste tijd ook steeds meer berichten tegen over Laravel
Keuzes... Keuzes...
Hmm... Tóch maar eens Symfony2 uitproberen dan, al is het alleen maar omdat daar beter documentatie voor te vinden is
Thanks voor de suggesties
Thanks voor de suggesties
