Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

beveiligen??

ottorocket - 14/08/2006 18:03
Onbekend		Hoe kan ik mijn scripts beveiligen tegen injecties? Dus als er iets wordt opgeslagen in de database van een input veld?? met addslashes()? Zijn er nog meer mogenlijkheden?

9 antwoorden

Gesponsorde links

Ch0coschijt - 14/08/2006 18:08 (laatste wijziging 14/08/2006 18:11)
HTML interesse		op phpfreakz stond d8 ik een tut erover edit: Link: http://www.phpfreakz.nl/artikelen.php?aid=106

Gerard - 14/08/2006 18:09
Ouwe rakker		Hier zijn al meerdere threads over geweest en de beste oplossing is nogsteeds PHP.net: mysql_real_escape_string.

ottorocket - 14/08/2006 18:16 (laatste wijziging 14/08/2006 18:17)

Onbekend

dit is een stukje van mijn registratie die ik had

php code - Bekijk de code zonder highlighting - Klap code in

<?php
		$wachtwoord = (sha1(md5($_POST['wachtwoord'])));
		$datum = time();
		$ip = getip();
		$land = $_POST['land'];
		mysql_query("INSERT INTO leden (naam, wachtwoord, email, datum, ip, land) VALUES ('".$_POST['naam']."', '".$wachtwoord."', '".$_POST['email']."', '".$datum."', '".$ip."', '".$land."')") or die(mysql_error());
		echo "<tr><td>U bent met succes geregistreerd.</td></tr>";
		echo "<tr><td><a href='home.php'>Ga verder</a></td></tr>";
?>

<?php
		$wachtwoord = (sha1(md5($_POST['wachtwoord'])));
		$datum = time();
		$ip = getip();
		$land = $_POST['land'];
		mysql_query("INSERT INTO leden (naam, wachtwoord, email, datum, ip, land) VALUES ('".$_POST['naam']."', '".$wachtwoord."', '".$_POST['email']."', '".$datum."', '".$ip."', '".$land."')") or die(mysql_error());
		echo "<tr><td>U bent met succes geregistreerd.</td></tr>";
		echo "<tr><td><a href='home.php'>Ga verder</a></td></tr>";
?>

na beveiligen kwam ik dit uit

php code - Bekijk de code zonder highlighting - Klap code in

<?php
$naam = mysql_real_escape_string($_POST['naam']);
		$wachtwoord_input = mysql_real_escape_string($_POST['wachtwoord']);
		$wachtwoord = (sha1(md5($wachtwoord_input)));
		$email = mysql_real_escape_string($_POST['email']);
		$datum = time();
		$ip = getip();
		$land = $_POST['land'];		
		mysql_query("INSERT INTO leden (naam, wachtwoord, email, datum, ip, land) VALUES ('".$naam."', '".$wachtwoord."', '".$email."', '".$datum."', '".$ip."', '".$land."')") or die(mysql_error());
		echo "<tr><td>U bent met succes geregistreerd.</td></tr>";
		echo "<tr><td><a href='home.php'>Ga verder</a></td></tr>";
?>

<?php
$naam = mysql_real_escape_string($_POST['naam']);
		$wachtwoord_input = mysql_real_escape_string($_POST['wachtwoord']);
		$wachtwoord = (sha1(md5($wachtwoord_input)));
		$email = mysql_real_escape_string($_POST['email']);
		$datum = time();
		$ip = getip();
		$land = $_POST['land'];		
		mysql_query("INSERT INTO leden (naam, wachtwoord, email, datum, ip, land) VALUES ('".$naam."', '".$wachtwoord."', '".$email."', '".$datum."', '".$ip."', '".$land."')") or die(mysql_error());
		echo "<tr><td>U bent met succes geregistreerd.</td></tr>";
		echo "<tr><td><a href='home.php'>Ga verder</a></td></tr>";
?>

is dit onderste stukje script veiligen tegen injecties en andere hackers toestanden?

Simon - 14/08/2006 18:34
PHP expert		een wachtwoord moet je volgens mij niet beveiligen tegen mysql injection, want er wordt een hash gevormd waarin geen schadelijke zaken zitten bij land heb ik mijn twijfels, gebruik je een select?

ottorocket - 14/08/2006 18:39
Onbekend		ja, land is een selectie blokje dat van wachtwoord wist ik niet, maar naam zou normaal ook niet kunnen omdat hij daarvoor al controleert of er enkel nummers en letters inzitten, maar voor de zekerheid

jensen - 14/08/2006 22:06 (laatste wijziging 14/08/2006 22:08)

Nieuw lid

php code - Bekijk de code zonder highlighting - Klap code in

<?php/**
     * Prepare a variable for use in a query.
     * @param mixed $value The value that needs to be prepared.
     * @access public
     * @return mixed
     */
    public function prepareForQuery($value) {
        // Strip slashes
    	if (get_magic_quotes_gpc()) {
    		$value = stripslashes($value);
    	}
        
        // Only add quotes if it's not a numeric string.
        if (!is_numeric($value)) {
        	$value = "'".mysql_real_escape_string($value)."'";
        }
        return $value;
    }
    
    /**
     * Clean the input from a form so that hacks don't work.
     * @param pointer $var The variable to clean.
     * @return mixed cleaned (array of) variable(s). 
     */     
    public function cleanFromInput($var) {
    	$search = array(
            "'<script[^>]*?>.*?</script>'si",
            "'<frame[^>]*?>.*?</frame>'si",
            "'<object[^>]*?>.*?</object>'si",
            "'<meta[^>]*?>.*?</meta>'si",
            "'<applet[^>]*?>.*?</applet>'si",
            "'<link[^>]*?>.*?</link>'si",
            "'<iframe[^>]*?>.*?</iframe>'si",
            "'<style[^>]*?>.*?</style>'si"
        );
        
        $replace = array('');
        $resarray = array();
        $tel = 0;
        foreach (func_get_args() as $var) {
            // Get var
           // if (empty($var)) {
               // continue;
            //}
            $ourvar = &$var;
            $tel++;
            
            if (!isset($ourvar)) {
                $ourvar = NULL;
                array_push($resarray, $ourvar);
                continue;
            }
            if (empty($ourvar)) {
                array_push($resarray, $ourvar);
                continue;
            }

            // Clean var
            if (get_magic_quotes_gpc()) {
                if (is_array($ourvar)) {
                    foreach ($var as $k=>$v) {
                        $ourvar[$k] = stripslashes($v);
                    }
                } else {
                    $ourvar = stripslashes($ourvar);
                }
            }
            $ourvar = preg_replace($search, $replace, $ourvar);
            array_push($resarray, $ourvar);
            

        }
        
        // Return vars
        if ($tel == 1) {
            return $resarray[0];
        } else {
            return $resarray;
        }        
    }
?>

<?php/**
     * Prepare a variable for use in a query.
     * @param mixed $value The value that needs to be prepared.
     * @access public
     * @return mixed
     */
    public function prepareForQuery($value) {
        // Strip slashes
    	if (get_magic_quotes_gpc()) {
    		$value = stripslashes($value);
    	}
 
        // Only add quotes if it's not a numeric string.
        if (!is_numeric($value)) {
        	$value = "'".mysql_real_escape_string($value)."'";
        }
        return $value;
    }
 
    /**
     * Clean the input from a form so that hacks don't work.
     * @param pointer $var The variable to clean.
     * @return mixed cleaned (array of) variable(s). 
     */     
    public function cleanFromInput($var) {
    	$search = array(
            "'<script[^>]*?>.*?</script>'si",
            "'<frame[^>]*?>.*?</frame>'si",
            "'<object[^>]*?>.*?</object>'si",
            "'<meta[^>]*?>.*?</meta>'si",
            "'<applet[^>]*?>.*?</applet>'si",
            "'<link[^>]*?>.*?</link>'si",
            "'<iframe[^>]*?>.*?</iframe>'si",
            "'<style[^>]*?>.*?</style>'si"
        );
 
        $replace = array('');
        $resarray = array();
        $tel = 0;
        foreach (func_get_args() as $var) {
            // Get var
           // if (empty($var)) {
               // continue;
            //}
            $ourvar = &$var;
            $tel++;
 
            if (!isset($ourvar)) {
                $ourvar = NULL;
                array_push($resarray, $ourvar);
                continue;
            }
            if (empty($ourvar)) {
                array_push($resarray, $ourvar);
                continue;
            }
 
            // Clean var
            if (get_magic_quotes_gpc()) {
                if (is_array($ourvar)) {
                    foreach ($var as $k=>$v) {
                        $ourvar[$k] = stripslashes($v);
                    }
                } else {
                    $ourvar = stripslashes($ourvar);
                }
            }
            $ourvar = preg_replace($search, $replace, $ourvar);
            array_push($resarray, $ourvar);
 
 
        }
 
        // Return vars
        if ($tel == 1) {
            return $resarray[0];
        } else {
            return $resarray;
        }        
    }
?>

Om de input van een form te cleanen:

php code - Bekijk de code zonder highlighting - Klap code in

                $var = cleanFromInput($_POST['var'] [, $_POST['var2'], ...]);
            
$var = cleanFromInput($_POST['var'] [, $_POST['var2'], ...]);

Om iets te cleanen alvorens in de databank te stoppen:

php code - Bekijk de code zonder highlighting - Klap code in

                $var = prepareForQuery($var);
            
$var = prepareForQuery($var);

Het gebruik is vrij eenvoudig, en vrij secure.

Maarten - 14/08/2006 22:13 (laatste wijziging 14/08/2006 22:14)
Erelid		Ooit van strip_tags gehoord? En die cleanforoutput is nutteloos, htmlentities() doet het allemaal. Gewoon mysql_real_escape_string bij insert, en htmlentities bij uitlezen, en klaar.

jensen - 16/08/2006 09:31
Nieuw lid		Ik wil niet altijd alle HTML weg, soms vereist een inputveld wel HTML input, daarom clean ik alleen de voor mij gevaarlijke input.

xSc - 16/08/2006 13:41
Onbekend		Ik gebruik eigenlijk altijd addslashes, intval en floatval. Wat houdt dit in? $ip = getip(); Je kunt toch $_SERVER['REMOTE_ADDR'] gebruiken?

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten