Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP & SQL

Veilig code in database

marten - 02/08/2006 20:42
Beheerder		Wat doen jullie om je code veilig in een database te zetten? Dus HTML code in database, PHP enz enz?

19 antwoorden

Gesponsorde links

Voldemort - 02/08/2006 20:43 (laatste wijziging 02/08/2006 20:46)
PHP ver gevorderde		php code - Bekijk de code zonder highlighting - Klap code in <?php $var = htmlentities($_POST['ding'],ENT_QUOTES); $query = "INSERT INTO tabel(`ding`) VALUES('".$var."')"; $result = mysql_query($query); //Zo doe ik het altijd en heb er nog nooit problemen met gehad ?> <?php $var = htmlentities($_POST['ding'],ENT_QUOTES); $query = "INSERT INTO tabel(`ding`) VALUES('".$var."')"; $result = mysql_query($query); //Zo doe ik het altijd en heb er nog nooit problemen met gehad ?> Hiermee ga je nooit kwaadaardige code krijgen (als je het altijdin je $_POST vars toepast, $_GET en $_COOKIE moet je ook altijd controleren). Owja: Gebruik geen addslashes of stripslashes, want dan krijg je problemen met bv. magic_quotes_gpc instelling in php.ini.

gothmog - 02/08/2006 20:43
Lid		Enige wat ik gebruik is: htmlspecialchars() http://www.site...&id=12

marten - 02/08/2006 20:56
Beheerder		Citaat: Owja: Gebruik geen addslashes of stripslashes, want dan krijg je problemen met bv. magic_quotes_gpc instelling in php.ini. Je kan controleren of je magic quotes aan of uit hebt staan in je script ;)

Voldemort - 02/08/2006 20:58
PHP ver gevorderde		@marten: Weet ik, maar dan moet je nog overal extra code gebruiken voor zo'n stomme check.

marten - 02/08/2006 21:03
Beheerder		Stomme check? Het gaat erom dat het veilig is ;) dan doe ik liever een if else controle meer dat het veilig is niet

Voldemort - 02/08/2006 21:06
PHP ver gevorderde		Het kan veel simpelder door gewoon htmlentities(,ENT_QUOTES) dan zo'n stomme check en altijd add/stripslashes door je code te halen. Kost allemaal extra serverload.

ikkedikke - 02/08/2006 21:33
PHP expert		of gewoon uitzetten..

Stijn - 02/08/2006 21:38
PHP expert		of PHP.net: mysql_real_escape_string

Ultimatum - 03/08/2006 00:16
PHP expert		ik gebruik altijd addslashes(); & stripslashes(); , is dit veilig genoeg of raden jullie me wat anders aan (open voor suggesties )

Voldemort - 03/08/2006 11:12
PHP ver gevorderde		@Ultimatum: Lees dit eens door: http://www.phpf...amp;page=3 @ikkedikke: Ik denk niet dat je toegang tot de php.ini van je host hebt. @stijn1989: Toch vind ik htmlentities beter omdat je dan ook geen foutieve broncode hebt (& wordt automatisch & etc, bij die functies niet).

Richard - 03/08/2006 13:55
Crew algemeen		Voldemort: aub leer wat meer over PHP. Jij zet nu alles veel groter in de database, htmlentities etc. hoor je pas bij output te doen. http://www.site...mp;id=1068 als je dit script uitvoert in een 'common' bestand (altijd geinclude dus), hoef je alleen maar mysql_real_escape_string te gebruiken voor veiligheid in queries. ik hoor het je al zeggen: 'extra serverload'. niet dus, dit is veel beter voor de server, en veiliger, en compatibel met alle andere servers

ikkedikke - 03/08/2006 15:12
PHP expert		er bestaat ook nog iets als .htaccess, daarmee is ook een hoop te regelen wat php configuratie betreft. je moet alleen even naar je host om dat aanpasbaar te maken.

gijs - 03/08/2006 15:28
HTML beginner		Ik gebruik altijd strip_tags als ik input in mijn database zet..

haytjes - 03/08/2006 15:49 (laatste wijziging 03/08/2006 15:52)
JS gevorderde		het beste is gewoon PHP.net: mysql_escape_string te doen met alles dat je in de database zet. Daarna is het inderdaad beter voor de output om PHP.net: htmlspecialchars of PHP.net: htmlentities te doen, zodat je geen XSS-exploits maakt. @gijs: Het is voor XSS-exploits idd wel goed om PHP.net: strip-tags te doen, maar hierdoor heb je nog altijd problemen met SQL-injection. Je moet dus altijd iets doen dat ' escaped. Hoe je dat doet maakt niet uit, maar mijn voorkeur gaat naar PHP.net: mysql_escape_string, omdat dit een speciale mysql functie is. Dus dit gaat de job wel goed doen.

Thomas - 03/08/2006 16:07
Moderator		Het hangt er maar helemaal vanaf wat je vervolgens met de code/HTML gaat/wilt doen (en hoe je hier mee omgaat). Het zou dus helpen als je aan kunt geven wat de bedoeling is van de opgeslagen HTML/PHP/whatever.

Ultimatum - 03/08/2006 16:27
PHP expert		@haytjes als je dan mysql_escape_string zou gebruiken, hoe haal je de \ weer weg als je wilt laten zien in bv een tabel dan, is daar een tegenhanger van (vb stripslashes(); & addslashes();) of volstaat stripslashes dan? en is mysql_escape_string alleen genoeg of is het verstandiger om het samen met iets te doen zodat alle input veilig is?

haytjes - 03/08/2006 16:31
JS gevorderde		nep, je moet daarachter niets meer doen. Het zet gewoon voor alle ' een \. Dit wordt vanzelf weggedaan: bv. $var = 'dit is een var\' blabla' snapje

marten - 03/08/2006 18:43
Beheerder		Citaat: Het zou dus helpen als je aan kunt geven wat de bedoeling is van de opgeslagen HTML/PHP/whatever. Laten we zeggen een pagina systeem dat de admin zijn eigen pagina code kan maken

nemesiskoen - 03/08/2006 18:47
PHP expert		Urgh... als de admin (jij dus) alles in de db pompt zullen we ervanuit gaan dat deze info veilig is (als dit niet zo is mag je je eerder zorgen gaan maken over de beveiliging van je cookies/logingegevens). Dan volstaat dus wat haytjes zegt en moet er (IMO) niet ge'htmlspecialchar'd/entities doen omdat je misschien html wilt opslaan.

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten