login  Naam:   Wachtwoord: 
Registreer je!
 Forum

query beveiliging

Offline pj_muller00 - 30/11/2006 18:22
Avatar van pj_muller00PHP interesse Beste,

Ik zou al mijn query's zo goed mogelijk willen beveiligen.
Kunnen jullie mij hier hulp omgeven hoe het te doen.

Alvast bedankt,
Pj 

7 antwoorden

Gesponsorde links
Offline Voldemort - 30/11/2006 18:24
Avatar van Voldemort PHP ver gevorderde Alle $_GET, $_POST en $_COOKIE waarden die je in een query stopt of die op de een of andere manier door de user kunnen veranderd worden beveiligen.
Offline timo - 30/11/2006 18:29 (laatste wijziging 30/11/2006 18:34)
Avatar van timo PHP ver gevorderde opzich is alles wanneer je er een query mee uitvoerd pas veilig wanneer je er addslashes omheen gebruikt, ik dacht nl. ook dat MySQL het UNION statement niet kent..

EDIT: zie dat ze dat wel kennen, maar mysql_query() kan dat volgens mij niet gebruiken.. dacht ik dan..
Offline pj_muller00 - 30/11/2006 18:42
Avatar van pj_muller00 PHP interesse
Citaat:
Alle $_GET, $_POST en $_COOKIE waarden die je in een query stopt of die op de een of andere manier door de user kunnen veranderd worden beveiligen.


Hoe dan ?
Offline GTW - 30/11/2006 18:44
Avatar van GTW Gouden medaille

PHP gevorderde		 met oa htmlentities(), addslashes() enz
Offline Voldemort - 30/11/2006 18:47
Avatar van Voldemort PHP ver gevorderde
php code - Bekijk de code zonder highlighting - Klap code in 
  1. $variable = mysql_real_escape_string($_POST['variable']);


Deze is veilig. In je INSERT query zet je van $variable als value ipv $_POST['variable']. En als je met ?id=nieuwsid werkt doe je:

php code - Bekijk de code zonder highlighting - Klap code in 
  1. if(!is_numeric($_GET['id']))
  2. echo 'Geen nummer, de code zal niet worden uitgevoerd.';
  3. else
  4. echo 'Wel een nummer, de code zal nu worden uitgevoerd.';
Offline b4nkr0bz0r - 01/12/2006 13:15
Avatar van b4nkr0bz0r PHP gevorderde zet in je cgf...:
php code - Bekijk de code zonder highlighting - Klap code in 
  1. <?php
  2. $_POST = array_map('htmlspecialchars', $_POST);
  3. $_POST = array_map('addslashes', $_POST);
  4. $_POST = array_map('htmlentities', $_POST);
  5. ?>


Verder elke input/alles wat een bezoeker controleren op een patroon, en kijken of het daar aan voldoet, anders gelijk die(); of zorgen dat de bezoeker niet kan bereiken wat hij wil.

functies die ik los gebruik van array_map():
IsSet();
is_numeric(); - ctype_digit();
is_string();
...
Offline Thomas - 01/12/2006 13:47
Avatar van Thomas Moderator Het helpt al veel als de omgeving waarin je de query uitvoert beveiligt.

Stel dus eerst vast of iemand een query mag uitvoeren.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2025 Sitemasters.be - Regels - Laadtijd: 0.291s