[PHP] krijg record niet verwijderd

1

$id=$_GET['id'];

[ Voor 46% gewijzigd door Verwijderd op 24-03-2006 13:52 ]

Verwijderd schreef op vrijdag 24 maart 2006 @ 14:00:
hoe zou jij het verwijderen oplossen?

maar helaas, hij doet het nog steeds niet. geen enkele record wordt verwijderd ik begrijp er echt niks meer van wat ik fout zou kunnen doen.

Verwijderd schreef op vrijdag 24 maart 2006 @ 14:00:
hoe zou jij het verwijderen oplossen?

Erkens schreef op vrijdag 24 maart 2006 @ 14:01:
[...]

mysql_escape_string

@NMe: aap me niet na

[ Voor 9% gewijzigd door Verwijderd op 24-03-2006 14:05 ]

Verwijderd schreef op vrijdag 24 maart 2006 @ 14:02:
Kan, maar je kunt nu ook gewoon de ID in de titelbalk aanpassen

* Erkens keek alleen naar SQL injection

Erkens schreef op vrijdag 24 maart 2006 @ 14:12:
[...]

* Erkens keek alleen naar SQL injection

athlonkmf schreef op vrijdag 24 maart 2006 @ 14:33:
Je geeft die connectie niet door. mysql_query($query, $cnx) moest je doen dus waarschijnlijk.

Maar je had het waarschijnljik zelf ook kunnen zien als je de foutmeldingen op scherm had gekwakt.

http://nl2.php.net/manual/en/function.mysql-query.php
link_identifier

The MySQL connection. If the link identifier is not specified, the last link opened by mysql_connect() is assumed. If no such link is found, it will try to create one as if mysql_connect() was called with no arguments. If by chance no connection is found or established, an E_WARNING level warning is generated.

[ Voor 10% gewijzigd door x-force op 24-03-2006 14:40 ]

x-force schreef op vrijdag 24 maart 2006 @ 14:39:
[...]


Dat is niet helemaal waar, in $cnx zit alleen false / true, dus daar schiet je niets mee op.

En nog een stukje van php.net

[...]

1
2
3
4
5
6

  // Voorkom éénvoudige SQL injection.
  // Er zijn geavanceerdere technieken, maar base64_encode/base64_decode zijn de meest 
  // elementaire.
  $sID=  base64_encode($row['itemId']);
  // Geef de id mee als GET parameter.
  echo '<a href="delete.php?id='.$sID.'">verwijderen</a>';

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

$dbServer = "localhost"; 
$dbUser = "root"; 
$dbPass = ""; 
$dbName = "redorangeshop"; 

// Open de database en retourneer de "connectie" id. 
// Is nodig omdat je door fout programmeren of juist bewust soms meerdere 
// actieve connecties kunt hebben. Gebruik in mysql_commando's dus altijd die ID!!!!!
$connectie = ConnectToDb($dbServer, $dbUser, $dbPass, $dbName); 

// Haal de parameters vanaf de server.
// Kijk of er een GET is geweest met de parameter 'id', zo ja, stop die dan in een variabele
// zo niet doe dan het zelfde voor een POST.
// ook geen POST dan FALSE zetten.
$sID= (isset($_GET['id'])?$_GET['id']:(isset($_POST['id'])?$_POST['id']:FALSE));

// Bij FALSE was er dus geen GET of POST. Let op de === (dus geen ==)
if ($sID===FALSE) 
{
  die('Parameter id: heeft geen waarde.');
}
else
{
  // Decodeer nu de id met base64_decode (we hadden hem verzonden met base64_encode).
  $iID= base64_decode($sID);
  // Stel de query samen. Gebruik ` (backtics) om de tabel en veldnamen heen. Is veiliger
  // en voorkomt conflicten met MySql keywords.
  // Haal ook de ID door real_escape_string, voorkomt basis sql injection attacks. 
  // Overigens mogen mysql getallen ook tussen ' (quote) staan. Leer je tevens aan om een ; te
  // gebruiken achter je statement. Deze laatste twee voorkomen ook basis SQL injection attacks.
  $sSql = "DELETE FROM `items` WHERE `itemId`='".mysql_real_escape_string($iID)."';"; 
  // Voer nu de code uit. Gebruik geen @, heeft totaal geen nut.
  // Let op! Gebruik van de $connectie.
  if (mysql_query($sSql,$connectie))
  {
    echo "Gelukt!";
  }
  else
  {
    // De fout als het mislukt is.
    die("Mislukt! SQL Error: ".mysql_error($connectie));  
  }
}

function ConnectToDb($server, $user, $pass, $database) 
{ 
  // Open een connectie, hergebruik eerdere connecties, voorkomt dat je meerdere
  // verbindingen krijgt vanuit 1 sessie naar de zelfde server/user/pass.        
  if ($connectie=@mysql_connect($server, $user, $pass, TRUE))
  { 
    // Gelukt, dan heeft $connectie een andere waarde dan FALSE
    if (mysql_select_db($database, $connectie))
    {
      return $connectie;
    }
    else
    {
      die('SQL Error: '.mysql_error($connectie));         
    }
  } 
  else
  {
    die('Connect fout opgetreden: '.mysql_error());
  }
}

[ Voor 52% gewijzigd door Wim-Bart op 24-03-2006 15:10 ]

wim-bart schreef op vrijdag 24 maart 2006 @ 14:49:
Ik zou er toch iets anders van maken:

PHP:

1 2	$sID= base64_encode($row['itemId']); echo '<a href="delete.php?id='.$sID.'">verwijderen</a>';

wim-bart schreef op vrijdag 24 maart 2006 @ 14:49:
php code

x-force schreef op vrijdag 24 maart 2006 @ 14:39:
[...]


Dat is niet helemaal waar, in $cnx zit alleen false / true, dus daar schiet je niets mee op.

En nog een stukje van php.net

[...]

mysql_connect
Return Values

Returns a MySQL link identifier on success, or FALSE on failure.

x-force schreef op vrijdag 24 maart 2006 @ 14:54:
[...]


misschien offtopic maar mag ik vragen waarom je gebruikt maakt van base64_encode() ? Wat is daarvan het voordeel? Als aanvaller kan ik dit nogsteeds gemakkelijk vervangen door mijn eigen ge-encode string.

_{ik lees graag andermans code om weer nieuwe dingen te leren}

Erkens schreef op vrijdag 24 maart 2006 @ 14:52:
[...]
verder zou ik de mysql statements niet zo doen maar met 'or die(mysql_error())' oid ipv in een if statement aangezien je zo alsnog de E_WARNING krijgt

[ Voor 25% gewijzigd door Wim-Bart op 24-03-2006 15:33 ]

wim-bart schreef op vrijdag 24 maart 2006 @ 15:24:
Als je het commentaar leest dan zie je dat er ook staat dat het een elementaire beveiliging is meer gericht tegen gewone gebruikers. Zie het als kleine kinderen, ze zien staan in de url "/wissen.php?id=2" of "weergeven.php?id=8", wat doen ze, ze veranderen het nummertje en je hebt shit.

Geef je echter een base64_encode dan wordt het al wat moeilijker want het is opeens onleesbaar. Het zelfde geldt voor het gebruik van mysql_real_escape_string en quotes.

Stel: http://mijnsite/winkelwagentje.php?ordernummer=8129&actie=wis
Wat als je nu geeft http://mijnsite/winkelwagentje.php?ordernummer=8129%20or%20(false=false)&actie=wis

Met base64_encode of een eigen encryptie functie in combinatie (laatste heeft voorkeur) wordt het nog beter. Wat is de url http://mijnsite/winkelwagentje.php?ordernummer=HSseuJEW&actie=HdHKHEsha
Bij dit laatste moet je doelbewust gaan zoeken. Zeker als er nog één vreemd algorithme achter hangt.

Wanneer je je site al opzet met enkel base64_encode en base64_decode dan is het later makkelijk aan te passen. Je schrijft twee eigen functies bijvoorbeeld mysecure_encrypt en mysecure_decrypt en je doet een zoek en vervang over je hele site en klaar ben je. Een goed design houdt namelijk rekening met toekomstige eisen en wensen indien deze mogelijk zijn.

Erkens schreef op vrijdag 24 maart 2006 @ 15:29:
voor dit soort dingen is juist mysql_real_escape_string bedoeld, daarmee is het praktisch onmogelijk om dit soort rare dingen uit te voeren (numerieke waarden moet je overigens wel van te voren casten naar een nummer, aangezien deze niet tussen quotes gaan)

Remember to check numeric data as well. If an application generates a query such as SELECT * FROM table WHERE ID=234 when a user enters the value 234, the user can enter the value 234 OR 1=1 to cause the application to generate the query SELECT * FROM table WHERE ID=234 OR 1=1. As a result, the server retrieves every record in the table. This exposes every record and causes excessive server load. The simplest way to protect from this type of attack is to use apostrophes around the numeric constants: SELECT * FROM table WHERE ID='234'.

[ Voor 80% gewijzigd door Wim-Bart op 24-03-2006 15:46 ]

wim-bart schreef op vrijdag 24 maart 2006 @ 15:42:
Misschien moeten mensen maar eens Webprogrammers hacking guide van Sijmen Ruwhof lezen.

wim-bart schreef op vrijdag 24 maart 2006 @ 15:42:
Gelukkig kun je bij MySql gewoon getallen tussen quotes zetten en kan MySql er goed mee omgaan. Een stukje uit de MySql manual:

[ Voor 34% gewijzigd door GX op 24-03-2006 16:13 ]

Verwijderd schreef op vrijdag 24 maart 2006 @ 13:49:

PHP:

1 2 3

<?php echo '<a href="delete.php?id='.$row['itemId'].'">verwijderen</a>'; ?>

PHP:

1 2 3 4 5

<? // .. $id=$_GET['itemId']; // .. ?>

..

Flydesign.nl schreef op vrijdag 24 maart 2006 @ 16:14:
[...]


De goede tips over beveiliging en mysql_error zijn allemaal volledig terecht. De reden waarom in dit script de query niet zal slagen, is dat in de link wordt verwezen naar delete.php?id=xx, terwijl in delete.php itemId verwacht wordt.

Zet voortaan de error reporting van je script wat hoger zodat je hier netjes een notice van krijgt.

GX schreef op vrijdag 24 maart 2006 @ 16:05:
[...]


Dat iets kan betekend gelukkig niet dat het zo hoort.

Wat aanvullender:
Als je graag controle wilt op wat de user invoert moet je je formulier-afhandeling beter regelen; en niet met dat soort vieze truukjes aan de slag gaan. Dat maakt het geheel ook wat fijner om te onderhouden, en soms handiger als je bijvoorbeeld overwilt naar een andere database.

GX schreef op vrijdag 24 maart 2006 @ 15:17:
[...]

Beter leren lezen:

[...]


Dat jij een link identifier interpreteert als true is jouw zorg; maar je kan dus wel meerdere verbindingen tegelijk open hebben en dan de queries naar de juiste lijn sturen met de link-identifier.

Verwijderd schreef op vrijdag 24 maart 2006 @ 13:49:

PHP:

1 2 3 4 5 6 7 8 9 10 11

function ConnectToDb($server, $user, $pass, $database) { $s = @mysql_connect($server, $user, $pass); $d = @mysql_select_db($database, $s); if(!$s || !$d) return false; else return true; }

[ Voor 10% gewijzigd door x-force op 24-03-2006 16:29 ]

Verwijderd schreef op vrijdag 24 maart 2006 @ 16:18:
[...]

En... dat had ik in post 2 al gezegd