Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP & SQL

SQL injection

RIC - 12/06/2007 14:13
Lid		Wat is de beste/veiligste manier om SQL injection tegen te gaan?

12 antwoorden

Gesponsorde links

marten - 12/06/2007 14:15
Beheerder		het webprogrammer hacking guide van phpfreakz te lezen.

Abbas - 12/06/2007 14:38
Crew .NET		DIT script gebruiken!

Thomas - 12/06/2007 15:16
Moderator		Citaat: het webprogrammer hacking guide van phpfreakz te lezen. Dat artikel grenst aan hype / interessantdoenerij if you ask me. De foto van de auteur alleen al spreekt boekdelen. Leuk om een keer te lezen, maar lijkt meer bedoeld om indruk te maken dan iets anders. In het algemeen doe je er verstandig aan "input te filteren, en output te escapen" (or so I have heard) en dat klinkt wel logisch. Dus: voer type-checks uit op invoer uit URL / POST als je deze in je queries verwerkt.

marten - 12/06/2007 15:25
Beheerder		Citaat: Dus: voer type-checks uit op invoer uit URL / POST als je deze in je queries verwerkt. Dat haalde ik ook als conclusie uit dat artikel

Sitebase - 12/06/2007 19:40
PHP expert		Citaat: titjes Daar heb je zo'n code niet voor nodig hoor. Gewoon mysql_real_escape_string(waarde uit POST of GET) gbruiken.

Abbas - 12/06/2007 20:03
Crew .NET		Niet per se, maar ik vind het een handige code!

Sitebase - 12/06/2007 20:11 (laatste wijziging 12/06/2007 22:14)
PHP expert		Het is maar hoe je het graag hebt he:D . Citaat: Rens edit: Volgens de regels is het nog steeds de bedoeling om AN te spreken...

Nanon - 12/06/2007 22:48

PHP interesse

Gewoon 2 kleine functies voor schrijven. Bijvoorbeeld:

php code - Bekijk de code zonder highlighting - Klap code in

<?php

function input( $string ) {

	$string = mysql_real_escape_string( $string );
	
	return $string;

}

function output( $string ){

	$string = htmlspecialchars( $string );
	$string = stripslashes( $string );

	return $string;

}

?>

<?php
 
function input( $string ) {
 
	$string = mysql_real_escape_string( $string );
 
	return $string;
 
}
 
function output( $string ){
 
	$string = htmlspecialchars( $string );
	$string = stripslashes( $string );
 
	return $string;
 
}
 
?>

Als je iets gaat inserten input( $_POST['blaat'] ); en je uit de database halen door output( $row['blaat'] ); En je kan het altijd nog uitbreiden.

WumTol - 12/06/2007 23:19 (laatste wijziging 12/06/2007 23:24)

PHP beginner

Ik gebruik altijd zoiets:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
if (!empty($_POST['submit'])) //als het formulier verzonden wordt
{
	//klein scriptje tegen injection (altijd boven je query)
	if (get_magic_quotes_gpc())
	{
	    foreach ($_POST as $k => $v)
	    {
	        $_POST[$k] = stripslashes($v);
	    }
	}

	foreach ($_POST as $k => $v)
	{
	    if(version_compare(phpversion(),"4.3.0") == "-1")
	    {
	        $_POST[$k] = mysql_escape_string($v);
	    }
	    else
	    {
	        $_POST[$k] = mysql_real_escape_string($v);
	    }
	}

	//MySQL query
	mysql_query("INSERT INTO tabel (id, test, blaat) VALUES ('', '".$_POST['test']."', '".$_POST['blaat']."')");
}
else
{
	//formulier
}
?>

<?php
if (!empty($_POST['submit'])) //als het formulier verzonden wordt
{
	//klein scriptje tegen injection (altijd boven je query)
	if (get_magic_quotes_gpc())
	{
	    foreach ($_POST as $k => $v)
	    {
	        $_POST[$k] = stripslashes($v);
	    }
	}
 
	foreach ($_POST as $k => $v)
	{
	    if(version_compare(phpversion(),"4.3.0") == "-1")
	    {
	        $_POST[$k] = mysql_escape_string($v);
	    }
	    else
	    {
	        $_POST[$k] = mysql_real_escape_string($v);
	    }
	}
 
	//MySQL query
	mysql_query("INSERT INTO tabel (id, test, blaat) VALUES ('', '".$_POST['test']."', '".$_POST['blaat']."')");
}
else
{
	//formulier
}
?>

En bij het ophalen moet je altijd gebruik maken van (numerieke) id's:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
if (is_numeric($_GET['id']))
{
	//MySQL query
	$query = mysql_query("SELECT * FROM tabel WHERE id='".$_GET['id']."'");
}
else
{
	//fout
}
?>

<?php
if (is_numeric($_GET['id']))
{
	//MySQL query
	$query = mysql_query("SELECT * FROM tabel WHERE id='".$_GET['id']."'");
}
else
{
	//fout
}
?>

Ibrahim - 13/06/2007 12:17

PHP expert

php code - Bekijk de code zonder highlighting - Klap code in

<?php

function input( $string ) {

  return mysql_real_escape_string( $string );

}

function output( $string ){

  return htmlspecialchars( stripslashes( $string ) );

}

<?php
 
function input( $string ) {
 
  return mysql_real_escape_string( $string );
 
}
 
function output( $string ){
 
  return htmlspecialchars( stripslashes( $string ) );
 
}

zo kan het ook

RIC - 13/06/2007 13:55
Lid		Is er ook iemand die weet hoe je dat sql injection anders valt het niet te testen natuurlijk of het echt help ik heb het zelf al geprobeert met: ' or 1 = 1 maar dat lukte al niet op mijn site ook niet voordat ik dat scriptje gebruikte.

markpieper - 13/06/2007 14:09
HTML beginner		En als je eens bij het inlogscherm probeert: ' OR id = 1-- En lees deze eens: http://www.phphulp.nl/php/tutorials/3/444/

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten