Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP & SQL

Query opbouw

zwobbel - 30/09/2006 17:18
PHP gevorderde		Als ik het forum zo bezoek en bekijk zie ik altij zoveel verschillende soorten opbouw van mysql query's en ik vroeg me nu af Wat de beste en meest veilige mannier is van opstelling van een query. Ook vroeg ik me af wat nu de meest veilige controle is bij een $_post[""] & een $_get[""] ? Zodat ze geen php injecties, html inject of andere dinges kunnen uithalen met je query. Met andere woorden wie kan mij nu is duidelijk en krachtig zeggen wat het meest veilige en beste is!?

11 antwoorden

Gesponsorde links

Dark_Paul - 30/09/2006 17:39
PHP ver gevorderde		Ik zou zeggen, controleren met een regex. Dan kan je zelf bepalen wat er in voor mag komen.

zwobbel - 01/10/2006 10:36 (laatste wijziging 01/10/2006 10:36)
PHP gevorderde		Heeft nu echt niemand hier nog een beter uitleg op?? Dit verbaasd me! Dit is namelijk best wel belangrijk zeker ook voor beginnende, zodat ze het van eerste keer goed aanleren...

marten - 01/10/2006 11:02
Beheerder		Zelf gebruik ik altijd dynamische queries in combinatie met reflectionClass(); Deze zit standaard in PHP5. Verder kan ik alleen maar zeggen: http://www.site...amp;id=747

ikkedikke - 01/10/2006 14:54
PHP expert		de veiligheid van GET en POST zijn allebei nihil, ze komen in een request allebei ongecodeerd voor oid en zijn allebei aan te passen. verder zou ik zo veel mogeljk met cijfers als waarden voor je variabelen werken omdat die het makkelijkst te controleren zijn met ctype_digit en dingen als $a = (int) $a; als laatste zou ik je aanraden om je queries logisch over meerdere regels te verdelen. je krijgt dan namelijk ook bij foutmeldingen de regel te zien, en als daar bij jou maar 1 of 2 dingen staan is het snel gevonden.

bosgroen - 01/10/2006 23:31
PHP interesse		Citaat: $a = (int) $a; Zelfs dit is gevaarlijk, want indien $a een tekst is, zal $a een nul worden. Stel nu dat je ergens in je query WHERE id = $a hebt staan, tja, dan zal hij rij met id=0 pakken, wat in sommige gevallen een veiligheidsrisico kan betekenen Ik heb een scriptje dat ik vond op het internet omgebouwd en geimplementeerd in mijn database-klasse. tgaat om SafeSQL.class by Monte Ohrt script, dat met %i en %s werkt in de query, en de vars dan apart worden doorgegeven na extra controle. Beetje zoals ook PEAR werkt. Handig en veilig, als je het wat met hersens gebruikt tenminste!

xSc - 02/10/2006 09:58
Onbekend		Er zijn nog meer mogelijkheden. Binnen queries kun (moet) je deze functies gebruiken: mysql_real_escape_string() addslashes() intval() floatval() Handig is ook array_map voor $_POST / $_GET $_POST = array_map('addslashes', $_POST);

Wijnand - 02/10/2006 10:02
Moderator		Het probleem is dat er verschillende stylen zijn die je kunt gebruiken. En er hoeft er niet één perse "beter" te zijn. Daarom zijn mensen voorzichting (iig ik) om te zeggen: "zo en zo MOET je het doen". En over die POST/GET.... daar zou ik een functie (recursief) voor schrijven die elke item langs gaat en de key en de value even door htmlspecialchars() haalt of iets in die richting. En over de opbouw van de query... hoe bedoel je dat? bedoel je hoe je met tabjes in een query moet/kan werken?

Thomas - 02/10/2006 11:39 (laatste wijziging 02/10/2006 11:40)

Moderator

Ik gebruik (voor form-data) een functie die waar nodig addslashes of htmlentities toevoegt. Standaard zet ik magic_quotes_gpc uit.

Ook wordt gecontroleerd of het $_POST-element bestaat.
Tevens biedt deze functie ondersteuning voor array-invoer uit forms (veldnaam[]).

Mijn database-tabellen zijn zo opgezet dat numerieke kolommen met de waarde "0" geen betekenis hebben / niet geïnitialiseerd zijn.

Als een formulier-veld numeriek zou moeten zijn, maar geen geschikte waarde heeft, dan initialiseer ik deze op 0 ("niet-geïnitialiseerd").

Bij het bouwen van de query kun je dus of volstaan met deze functie voor tekstinvoer, deze functie + is_numeric controle voor numerieke invoer - als invoer aan specifieke kenmerken moet voldoen, gebruik je ook een reguliere expressie.

Je hebt eigenlijk 3 "niveaus" van controleren (naast controles voor het tegengaan van SQL-injecties enzo):

1. Controleren of een veld "niet leeg" is
2. De waarde van een veld controleren op een bepaald type
3. Onderlinge samenhang van ingevulde waarden controleren

#1 is het makkelijkste, en met #3 wordt je formuliercontrole vrij uitgebreid. In eerste instantie moeten de formuliergegevens veilig worden verwerkt tot een kloppende query, waar eerdergenoemde functie voor dient.
Daarna(ast) verschilt het per formulier hoe je deze verwerkt... dus daarvoor is niet echt één oplossing te geven.

Functie die ik gebruik:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
// @param $field (string) naam van formulierveld
// @param $index (int) of veld indices heeft (default -1 = geen indices)
// @param $preset (int) hoe de gegevens verwerkt dienen te worden (default 0 = normale form-verwerking)
// @return "veilige" form-data of een lege string
function form_data($field, $index=-1, $preset=0)
{
	$ret = "";

	// default - voor het verwerken van formulieren met als doel deze in database op te slaan
	if($preset == 0)
	{
		$add   = 1;
		$strip = 0;
		$trim  = 1;
		$safe  = 0;
	}

	// voor het verwerken van formulieren met als doel deze in direct te verwerken, bijvoorbeeld in een e-mail
	if($preset == 1)
	{
		$add   = 0;
		$strip = 0; // verwijdert anders slashes uit het oorspronkelijke bericht
		$trim  = 1;
		$safe  = 1;
	}

	if($index > -1)
	{
		if(isset($_POST[$field][$index]))
		{
			$ret = $_POST[$field][$index];
		}
	}
	else
	{
		if(isset($_POST[$field]))
		{
			$ret = $_POST[$field];
		}
	}

	$ret = ($add)   ? addslashes($ret) : $ret;
	$ret = ($strip) ? stripslashes($ret) : $ret;
	$ret = ($trim)  ? trim($ret) : $ret;
	$ret = ($safe)  ? htmlentities($ret) : $ret;

	return $ret;
}

<?php
// @param $field (string) naam van formulierveld
// @param $index (int) of veld indices heeft (default -1 = geen indices)
// @param $preset (int) hoe de gegevens verwerkt dienen te worden (default 0 = normale form-verwerking)
// @return "veilige" form-data of een lege string
function form_data($field, $index=-1, $preset=0)
{
	$ret = "";
 
	// default - voor het verwerken van formulieren met als doel deze in database op te slaan
	if($preset == 0)
	{
		$add   = 1;
		$strip = 0;
		$trim  = 1;
		$safe  = 0;
	}
 
	// voor het verwerken van formulieren met als doel deze in direct te verwerken, bijvoorbeeld in een e-mail
	if($preset == 1)
	{
		$add   = 0;
		$strip = 0; // verwijdert anders slashes uit het oorspronkelijke bericht
		$trim  = 1;
		$safe  = 1;
	}
 
	if($index > -1)
	{
		if(isset($_POST[$field][$index]))
		{
			$ret = $_POST[$field][$index];
		}
	}
	else
	{
		if(isset($_POST[$field]))
		{
			$ret = $_POST[$field];
		}
	}
 
	$ret = ($add)   ? addslashes($ret) : $ret;
	$ret = ($strip) ? stripslashes($ret) : $ret;
	$ret = ($trim)  ? trim($ret) : $ret;
	$ret = ($safe)  ? htmlentities($ret) : $ret;
 
	return $ret;
}

Wijnand - 02/10/2006 12:13

Moderator

php code - Bekijk de code zonder highlighting - Klap code in

<?php
function fChecker($val)
{
	if (is_array($val)) {
		foreach ($val AS $k=>$v) {
			if (is_array($v)) {
				$val[$k] = fChecker($v);
			} else {
				$val[$k] = htmlspecialchars($v, ENT_QUOTES);
			}
			if ($k != htmlspecialchars($k, ENT_QUOTES)) {
				$temp = $val[$k];
				unset($val[$k]);
				$val[htmlspecialchars($k, ENT_QUOTES)] = $temp;
			}
		}
	}
	return $val;
}
?>

<?php
function fChecker($val)
{
	if (is_array($val)) {
		foreach ($val AS $k=>$v) {
			if (is_array($v)) {
				$val[$k] = fChecker($v);
			} else {
				$val[$k] = htmlspecialchars($v, ENT_QUOTES);
			}
			if ($k != htmlspecialchars($k, ENT_QUOTES)) {
				$temp = $val[$k];
				unset($val[$k]);
				$val[htmlspecialchars($k, ENT_QUOTES)] = $temp;
			}
		}
	}
	return $val;
}
?>

Dit scriptje heb ik net geschreven. Even heel simpel, maar het maakt alle keys en values "veilig" door htmlspecialchars (ENT_QUOTES ook) er overheen uit te voeren.

Hij houd ook rekening met array-invoer vanuit formulieren.

bosgroen - 02/10/2006 19:26 (laatste wijziging 02/10/2006 19:27)
PHP interesse		mogelijke mysql-abuse op wijnand scriptje: (ter info, waarschijnlijk doet wijnand nog andere controles) $pass = fChecker($_GET['pass']); $user_id = fChecker($_GET['user_id']); SELECT * WHERE pass = '$pass' AND id = $user_id (Indien wijnand geen '' zet om user_id, omdat hij een integer verwacht, maar niet controleert of dit er werkelijk één is.) wat als iemand ervoor zorgt dat $_GET['user_id'] = '5 OR NOT( id = 5 )'; Dan wordt volgen SQL uitgevoerd, desondanks de fChecker-functie. (Let erop dat ik NOT id = gebruik en niet id <> want deze laatste zal wijnands-functie tegenhouden) SELECT * WHERE pass = '$pass' AND id = 5 OR NOT( id = 5 )

Wijnand - 03/10/2006 09:40
Moderator		Ja die single quotes erom heen zijn super logisch. Vandaar dat ik het er niet bij heb gezet. Je hebt gelijk..... had ik erbij kunnen zetten. shame on me

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten