[PHP]Veilig scripten

edit:
of je ziet met je duffe kop een security hole waar een vrachtwagen doorheen kan over het hoofd

[ Voor 16% gewijzigd door MBV op 12-11-2006 23:18 ]

Verwijderd schreef op zondag 12 november 2006 @ 23:42:
[...]
Hoe kan ik verder met session id's werken om login gegevens te verifieren?

Verwijderd schreef op zondag 12 november 2006 @ 23:26:
Zolang je input als $username = 'jantje; drop table users --' (MSSQL voorbeeld, MySQL heeft vast ook wel vergelijkbare injections) niet afvangt heeft escapen m.i. nauwelijks zin.
Geparametriseerde queries is the way to go als je 't veilig aan wilt pakken.

Verwijderd schreef op zondag 12 november 2006 @ 23:10:
Wat ik momenteel doe voer login bijvoorbeeld is:
1. Gebruiker z'n gebruiksnaam in tex en wachtwoord in password input veld laten invoeren.
2. Dit posten naar dezelfde pagina
3. Het wachtwoord md5en

is dit veilig of kan dit beter?

[ Voor 3% gewijzigd door Paul op 13-11-2006 00:09 ]

Verwijderd schreef op zondag 12 november 2006 @ 23:10:
3. Het wachtwoord md5en
4. addslashes op de username en password (bij POST) en dan de query op die variablen... ("SELECT * FROM users WHERE username='$username' AND password='$password'");

Paul Nieuwkamp schreef op maandag 13 november 2006 @ 00:08:
2: Op de client het wachtwoord md5en, salt eraan vast plakken, dit weer md5en

MIster X schreef op maandag 13 november 2006 @ 00:31:
[...]

Clientside? Hoe doe je dat?

[ Voor 13% gewijzigd door crisp op 13-11-2006 00:33 ]

MIster X schreef op maandag 13 november 2006 @ 00:31:
[...]
Clientside? Hoe doe je dat?

EdwinG schreef op maandag 13 november 2006 @ 00:18:
[...]

Als je eerst een md5 van een wachtwoord neemt, hoeft volgens mij deze niet met addslashes bewerkt te worden, aangezien een md5 alleen uit cijfers + letters bestaat.

crisp schreef op maandag 13 november 2006 @ 00:33:
http://www.pajhome.org.uk/crypt/md5/
Dat gebruiken wij hier ook voor het encrypted inloggen

JavaScript is not always enabled - either because a cut-down browser doesn't support it, or because the user has chosen to disable it. In this case, encrypted login will not be possible. There are two options for behaviour in this case - either block the login, or allow it to proceed unencrypted. This is a security vs usability tradeoff, different sites will make different choices, although I generally favor allowing the unencrypted login.

To permit an unencrypted login, we need to make a slight change to the login form. Add a hidden field "password_hash" and code the JavaScript to populate that with the hash, and blank the password field. If the server receives a login without a password_hash, JavaScript must be disabled. The server checks the password field instead.

MIster X schreef op maandag 13 november 2006 @ 10:30:
Waarop ik me verwonderde: jama als javascript dan uitstaat... Maar dat wordt in de link ook beantwoord. Bedankt, nuttige informatie!

Verwijderd schreef op zondag 12 november 2006 @ 23:10:
Ik heb de laatste tijd diverse topics, posts en websites bekeken over het veilig scripten in PHP. Het enige probleem is dat elke site net iets anders vertelt wat veilig is.

Paul Nieuwkamp schreef op maandag 13 november 2006 @ 00:08:
[...]

Daar gaat het al fout Dit is gevoelig voor replay, en hoewel je je wachtwoord wel md5t doe je dit zo te zien serverside, en daar is het nut al mee verloren...

[een aantal stappen]

Waarom, als je er de salt aan vastplakt en dan (nogmaals) md5t, het wachtwoord ook md5en? Kraakt men je DB dan kan men toch overal mee inloggen (als dat nog nodig zou zijn dan )? Omdat veel mensen hun username en password op meerdere sites gebruiken In mijn geval gaat het niet op, maar uit mijn sig blijkt dat ik op Samenkopen.net rondloop. Zou je nu hier of daar de DB kraken dan zou ook meteen mijn andere account gecompromiteerd zijn. Is dus ook eerder damage control dan wat anders, maar het kost je 3 seconden programmeren en 0,0007 seconden extra rekenen per inlog dus waarom niet

1. Bestaat er een cookie met een sessie id en ip adres? Zo ja, een gebruiker wil dat hij/zij ingelogd blijft en ga naar stap 3
2. Bestaat er een sessie die een sessie id bevat? Zo ja, gebruiker is ingelogd (en controleer verder), zo nee, gebruiker is een gast (doe dan verder niets)
3. Check sessie id met de opgeslagen sessie-id in de database. In de sessie tabel staat ook het ip en het user id opgeslagen. Komen ip's overeen, dan kan je gebruikers instellingen laden via je user-id

1. POST wachtwoord + gebruikersnaam
2. md5 wachtwoord en kijk of md5(wachtwoord)/username combinatie in user tabel voorkomt
3. Zo ja, creer een sessie id, sla sessie id+ip+user id op in sessie tabel van database, maak een session aan die sessie id bevat.

[ Voor 5% gewijzigd door mithras op 13-11-2006 11:19 ]

mithras86 schreef op maandag 13 november 2006 @ 11:13:
[...]
Volgens mij is het principe van md5 dat op elkaar lijkende strings een zo verschillend mogelijke hash krijgen. Een md5(md5(md5(iets))) is dus onveiliger dan een md5(iets). Dat je tussendoor nog iets toevoegt lijkt me niet significant uit te maken.

Wat ik verder lees in de ook voor mij nuttige bijdrage, is dat ook clientside een md5 hash wordt gemaakt. Vergroot het je veiligheid? Het enige wat je hierdoor voorkomt is dat het wachtwoord niet onversleuteld naar je server wordt gestuurd. Het kán dus onderschept worden tijdens je POST. Maar hoe groot is die kans?

l0c4lh0st schreef op maandag 13 november 2006 @ 11:46:
Bij het kijken of ID's bestaan (in de URL bijv.) doe ik ook altijd een preg_match('/^([0-9]+)$/is', ...) om te kijken of het ook echt een getal is. Helaas wil ik daar nog wel eens de ^ en $ vergeten.

rwb schreef op maandag 13 november 2006 @ 11:56:
Als je je wachtwoord clientside md5't dan moet je dat zeker ook met een salt doen die al serverside bepaald is. Anders stuur je elke keer dat de gebruiker inlogt precies dezelfde md5. Als je dan die md5 opstuurt dan kan je daar ook gewoon mee inloggen en het is dus ( bijna ) net zo onveilig als gewoon het clear-text pasword over de lijn sturen. Het enige wat je er mee op schiet is dat de hacker je wachtwoord niet heeft.

Verwijderd schreef op maandag 13 november 2006 @ 12:02:
Klinkt interessant, maar wat als de gebruiker nou een dynamisch IP adres heeft, dan heb je toch kans dat de sessie niet meer werkt naar een reboot?

Voutloos schreef op maandag 13 november 2006 @ 11:52:
[...]
Beetje rare gevolgtrekking. Meerdere keren hashen is niet per se minder veilig. Verder wil je dus meerdere keren hashen: je wil een hash opslaan van het wachtwoord en je wil bij inloggen hashen om zo een mooi challenge-response systeem te kunnen maken welke niet vatbaar is voor replay attacks.

[...]
Nee, je zorgt er ook voor dat in jouw DB niet het originele wachtwoord in plaintext staat. Dit beperkt de schade als de inhoud van je DB op straat komt te liggen. Overigens staat dit ook in het stuk dat je quote.

1

md5(md5(password) + md5(salt))

1

md5(password + salt)

rwb schreef op maandag 13 november 2006 @ 11:56:
Als je je wachtwoord clientside md5't dan moet je dat zeker ook met een salt doen die al serverside bepaald is. Anders stuur je elke keer dat de gebruiker inlogt precies dezelfde md5. Als je dan die md5 opstuurt dan kan je daar ook gewoon mee inloggen en het is dus ( bijna ) net zo onveilig als gewoon het clear-text pasword over de lijn sturen. Het enige wat je er mee op schiet is dat de hacker je wachtwoord niet heeft.

Verwijderd schreef op maandag 13 november 2006 @ 12:02:
[...]
Klinkt interessant, maar wat als de gebruiker nou een dynamisch IP adres heeft, dan heb je toch kans dat de sessie niet meer werkt naar een reboot?

mithras86 schreef op maandag 13 november 2006 @ 12:12:
[...]
Maar dit is bij T.net toch ook zo? /me kijkt naar devver:p

crisp schreef op maandag 13 november 2006 @ 12:15:
Als jij je sessie hier op Tnet locked op je IP en je hebt na een reboot een ander IP dan zal je sessie als ongeldig worden gemarkeerd en ben je dus effectief niet meer ingelogd.

MIster X schreef op maandag 13 november 2006 @ 12:20:
[...]


En als je je sessie niet locked?

mithras86 schreef op maandag 13 november 2006 @ 12:12:
Nee, zie hierboven. Het gaat om

code:

1	md5(md5(password) + md5(salt))

tov

code:

1	md5(password + salt)

[ Voor 24% gewijzigd door Paul op 13-11-2006 12:29 ]

CodeCaster schreef op maandag 13 november 2006 @ 12:28:
Op je lokale netwerk ben je toch nooit veilig. Alle verkeer is captureable, en het externe IP komt ook nog eens overeen. Jat iemands cookies en je bent binnen.

[ Voor 9% gewijzigd door Zyppora op 13-11-2006 12:32 ]

Zyppora schreef op maandag 13 november 2006 @ 12:26:
- md5(IP adres)

- SQL Injection (of dit nu htmlentities of mysql_real_escape_string (of een van de andere tientallen functies) moet gebruiken, maakt volgens mij niet zoveel uit)

Zyppora schreef op maandag 13 november 2006 @ 12:26:
2. Verstuurt deze dmv. formulier naar server

3. Server:

code:

1	SELECT password FROM users WHERE username='htmlentities($loginname)'

5. Als deze overeenkomen, wordt er een cookie gestuurd met de volgende informatie:
- userid
- md5(wachtwoord)
- md5(IP adres)

Zyppora schreef op maandag 13 november 2006 @ 12:26:
Een heel verhaal...

Op deze manier is het overigens wel gevoelig voor sniffers (denk ik), omdat het wachtwoord rechtstreeks naar de server gestuurd wordt. Ik denk echter dat het risico hierop vrij klein is. Het kan bijvoorbeeld alleen maar binnen netwerken voorkomen, en dan is het IP toch hetzelfde.

Voutloos schreef op maandag 13 november 2006 @ 12:34:
Maakt _wel_ uit. Er zijn niet veel functies omdat men het maar leuk vind om elke keer een functie te bedenken... Pak nou niet at random een van de functies, maar gewoon degene welke het meest gepast is.

CodeCaster schreef op zondag 12 november 2006 @ 23:18:
Ik gebruik zelf de volgende functie voor het opvragen van POST-variabelen:
[code]

1
2
3
4
5
6
7
8
9
10
11
12
13
14

function postHandler($post = false) {
  $post = $post ? $post : $_POST;
  $var = array();
  foreach($post as $index => $variable) 
    $var[$index] = checkVar($variable);
  return $var;
}

function checkVar($variable) {
  $variable = htmlspecialchars($variable, ENT_QUOTES);
  if(!get_magic_quotes_gpc()) 
    $variable = mysql_real_escape_string($variable);
  return $variable;
}

Janoz schreef op maandag 13 november 2006 @ 11:02:
Als iedereen maar een stapeltje dingen aanneemt krijg je van die vreemde constructies waarbij mensen een html_special_chars over hun input heenhalen voordat het de database in gaat.

FragFrog schreef op maandag 13 november 2006 @ 12:47:
Vergeef me, heb er verder ook niet voor doorgeleerd, maar waarom is het vreemd om htmlspecialchars te gebruiken voor je data naar een database stuurt?

Natuurlijk, mysql_real_escape_string is nuttig, maar dan moet je gaan meuken met addslashes en trimslashes wat, laten we wel wezen, uiteindelijk meer problemen oplevert dan dat het oplost.

Eerst htmlspecialchars gebruiken is voor zover ik weet dan ook een nuttige aanvulling?

FragFrog schreef op maandag 13 november 2006 @ 12:47:
Natuurlijk, mysql_real_escape_string is nuttig, maar dan moet je gaan meuken met addslashes en trimslashes wat, laten we wel wezen, uiteindelijk meer problemen oplevert dan dat het oplost.

Erkens schreef op maandag 13 november 2006 @ 12:55:
Nee, dat is het nu juist, als je mysql_real_escape_string gebruikt hoef je je geen zorgen te maken over addslashes/trimslashes etc, je krijgt namelijk de data dan precies zo terug zoals je het erin gestopt hebt.

Note: If magic_quotes_gpc is enabled, first apply stripslashes() to the data. Using this function on data which has already been escaped will escape the data twice.

Voutloos schreef op maandag 13 november 2006 @ 12:58:
[...]

Lees gewoon wat die functie doet.

[ Voor 18% gewijzigd door FragFrog op 13-11-2006 13:13 ]

FragFrog schreef op maandag 13 november 2006 @ 13:07:
Erm, hier zet ik toch mijn vraagtekens bij - zeker bij aanwezigheid van magic_quotes_gpc. Direct uit de manual:
[...]

Data netjes houden ben ik heel hard voor, maar als je kan kiezen tussen of een slash ervoor zetten of omschrijven naar bijvoorbeeld ' schrijf ik het liever om - zeker omdat PHP en MySQL data bijna altijd wel ergens op een website terecht komt en je dus vroeger of later alsnog htmlspecialchars moet gebruiken.

Ik ben bang dat ik het argument "/' is netter dan $#039;" niet echt reden vind om me het gezeur met slashes op de hals te halen

FragFrog schreef op maandag 13 november 2006 @ 13:07:
Lees het zelf eens

En ja, je kan magic_quotes detecteren en desnoods uitzetten, of je kan er vanuit gaan dat magic_quotes niet gebruikt wordt, maar het is IMHO achterlijk om apps te ontwikkelen die van dat soort geintjes afhangen. Kun je voor jezelf doen, maar zodra je dingen gaat publiceren kun je dat niet maken.

FragFrog schreef op maandag 13 november 2006 @ 13:07:
Erm, hier zet ik toch mijn vraagtekens bij - zeker bij aanwezigheid van magic_quotes_gpc. Direct uit de manual:

of begrijp ik je 'vraagtekens' nu verkeerd?

FragFrog schreef op maandag 13 november 2006 @ 13:07:
[...]
zeker omdat PHP en MySQL data bijna altijd wel ergens op een website terecht komt en je dus vroeger of later alsnog htmlspecialchars moet gebruiken.

FragFrog schreef op maandag 13 november 2006 @ 13:07:
Ik ben bang dat ik het argument "/' is netter dan $#039;" niet echt reden vind om me het gezeur met slashes op de hals te halen

[ Voor 13% gewijzigd door Janoz op 13-11-2006 13:30 ]

Voutloos schreef op maandag 13 november 2006 @ 12:34:
[...]
En wat is die check dan? md5 van ip adres huidige request? In dat geval slaat het echt nergens op, want iedereen kan zijn eigen ip adres wel op deze manier hashen.

Voutloos schreef op maandag 13 november 2006 @ 12:34:
[...]
Maakt _wel_ uit. Er zijn niet veel functies omdat men het maar leuk vind om elke keer een functie te bedenken... Pak nou niet at random een van de functies, maar gewoon degene welke het meest gepast is.

Paul Nieuwkamp schreef op maandag 13 november 2006 @ 12:38:
[...]
Plaintext WW over de lijn

[...]
Laat single-quotes intact, is hier totaal niet voor bedoeld (dit is om [bijvoorbeeld] users HTML-rechten te ontnemen, niet om SQL-injection tegen te gaan.)

Paul Nieuwkamp schreef op maandag 13 november 2006 @ 12:38:
[...]
Waarom IP md5en? IP heb je toch al bij de pagina-aanvraag? Die moet je juist serverside opslaan, niets houdt mij tegen om in een gejat cookie een andere md5(ipadres) te zetten.
Waarom het wachtwoord erbij? En nu ineens wel in MD5? Ga je iedere keer weer je wachtwoord controleren?

Paul Nieuwkamp schreef op maandag 13 november 2006 @ 12:38:
Ik denk dat je beter een (serverside) sessie-ID op kunt slaan, dan kan men lokaal niets meer aanpassen. Ja, een ander sessie-ID gokken, maar door de IP-check vang je dat af. Tevens je sessie-ID dusdanig groot/random maken dat er geen gokken aan is.

l0c4lh0st schreef op maandag 13 november 2006 @ 11:46:
Deze functie gebruik ik standaard in elk script:

PHP:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

<?php if (get_magic_quotes_gpc() == 1) { function undo_magic_quotes_gpc($pmVariable) { if (is_array($pmVariable)) { return array_map('undo_magic_quotes_gpc', $pmVariable); } else { return stripslashes($pmVariable); } } $_GET = undo_magic_quotes_gpc($_GET); $_POST = undo_magic_quotes_gpc($_POST); $_COOKIE = undo_magic_quotes_gpc($_COOKIE); $_REQUEST = undo_magic_quotes_gpc($_REQUEST); } ?>

Vervolgens doe ik in query's altijd addslashes() over de data en bij het printen van data altijd htmlspecialchars().

Bij het kijken of ID's bestaan (in de URL bijv.) doe ik ook altijd een preg_match('/^([0-9]+)$/is', ...) om te kijken of het ook echt een getal is. Helaas wil ik daar nog wel eens de ^ en $ vergeten.


Maar volgens mij is bovenstaand veilig genoeg, niet dan?

Zyppora schreef op maandag 13 november 2006 @ 13:30:
[...]

Ik denk dat ik maar eens wat dingetjes ga veranderen aan mijn scriptje. Toen het huidige login geval tot stand kwam, kende ik deze sessie-ID manier nog helemaal niet. Bedankt!

Zyppora schreef op maandag 13 november 2006 @ 13:30:
[...]


Dat kan inderdaad. Het idee erachter is dus dat de hacker/cookie grabber/etc. niet weet dat het in de cookie om een md5 encoded IP adres gaat.

Het IP kan worden opgeslagen op de server, maar dat wordt meer werk om mensen met een dynamisch IP te ontzien

Voutloos schreef op maandag 13 november 2006 @ 13:15:
Juist als je iets gaat publiceren moet je het doen. Als je iets puur op je eigen bak neer zet weet je wel wat de configuratie is. Ik snap echt gewoon niet waarom je deze werkwijze zo eng vind dat je per se een minder geschikte functie er tegenaan wil gooien.

crisp schreef op maandag 13 november 2006 @ 13:23:
Er zijn situaties genoeg waar je juist geen HTML-encoding wilt hebben, mail bijvoorbeeld. Verder worden single quotes niet automatisch omgezet bij het gebruik van htmlspecialchars() of htmlentities(), je moet daarvoor expliciet ENT_QUOTES opgeven.

Janoz schreef op maandag 13 november 2006 @ 13:24:
Welke van de twee netter is is compleet niet interresantt. Waar het om gaat is dat de ene een vertaling is en de ander een escape karakter. Zoals ik eerder al zei, begrijp wat er gebeurt, niet aannemen.

Verwijderd schreef op maandag 13 november 2006 @ 14:19:
even terzijde... wanneer je gebruik maakt van wachtwoorden die met 1x -> Xx geMD5'd zijn zonder salt, moet je er rekening mee houden dat er databases zijn met wachtwoord - MD5 hash combinaties waarmee gechecked kan worden welk wachtwoord het zou kunnen zijn... indien je dit toch wilt gebruiken kan je met een API op onderstaande site checken of deze in de database voorkomt...

[ Voor 9% gewijzigd door FragFrog op 13-11-2006 14:32 ]

FragFrog schreef op maandag 13 november 2006 @ 14:31:
Ik -weet- wat er gebeurt Janoz, thank you very much Maar zoals ik al zei: ik geef er juist de voorkeur aan als iets vertaalt wordt in plaats van escaped.

[ Voor 5% gewijzigd door Janoz op 13-11-2006 14:54 ]

Voutloos schreef op maandag 13 november 2006 @ 14:28:
[...]
Het is wel een van de dingen die ik zou proberen, zeker als het cookie 'ip' zou heten. Dit is een voorbeeld van een situatie waar een salt geen kwaad kan.

Voutloos schreef op maandag 13 november 2006 @ 14:28:
[...]
Bij iemand met een dynamisch IP verandert dat cookie ook niet opeens, dus je bent nu niet ook niet aardig jegens mensen met een dynamisch IP .

* Zyppora voelt zich nu wel

OxiMoron schreef op maandag 13 november 2006 @ 15:22:
Ik heb zelf een headerfile waar alle post en get vars automatisch met mysql_real_escape gedaan worden.
Nadeel is wel dat als je ze niet meteen in de database zet, maar bijvoorbeeld nog weer wilt geven je ze niet makkelijk kunt unescapen

Best jammer dat er geen mysql_unescape is, je kunt het natuurlijk wel handmatig doen met een regex, maar echt netjes is dat natuurlijk niet.

OxiMoron schreef op maandag 13 november 2006 @ 15:22:
Ik heb zelf een headerfile waar alle post en get vars automatisch met mysql_real_escape gedaan worden.
Nadeel is wel dat als je ze niet meteen in de database zet, maar bijvoorbeeld nog weer wilt geven je ze niet makkelijk kunt unescapen

Best jammer dat er geen mysql_unescape is, je kunt het natuurlijk wel handmatig doen met een regex, maar echt netjes is dat natuurlijk niet.

CodeCaster schreef op maandag 13 november 2006 @ 12:28:
Op je lokale netwerk ben je toch nooit veilig. Alle verkeer is captureable, en het externe IP komt ook nog eens overeen. Jat iemands cookies en je bent binnen.

[ Voor 16% gewijzigd door Olaf van der Spek op 13-11-2006 17:15 ]

Janoz schreef op maandag 13 november 2006 @ 14:51:
Weet je het zeker?

OxiMoron schreef op maandag 13 november 2006 @ 15:22:
Ik heb zelf een headerfile waar alle post en get vars automatisch met mysql_real_escape gedaan worden.
Nadeel is wel dat als je ze niet meteen in de database zet, maar bijvoorbeeld nog weer wilt geven je ze niet makkelijk kunt unescapen

.oisyn schreef op maandag 13 november 2006 @ 17:33:
[...]

Je doet het imho ook verkeerd om, net als CodeCaster aan het begin van deze draad. Je wilt helemaal niet alle GPC variabelen besmeuren met html entities en escape sequences - die dingen wil je er pas in hebben als duidelijk is wat je ermee gaat doen. Check dus of magic_quotes_gpc aan staat (de meest idiote optie in IT history!), en doe dan een stripslashes op al je GPC variabelen zoals l0c4lh0st al liet zien.
...knip...

1
2
3
4

$inpLayer = new InputLayer();


$variable = $inpLayer->getInput('naampje', $inpLayer->PARAM_SINGLELINE_STRING, $inpLayer->SOURCE_GET, array('defaultval' => 'aapje', 'maxlength' => 10, 'regexp' => '^[a-z0-9]*$');

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

class InputLayer
{
    // param types
    public const PARAM_SINGLELINE_STRING = 0;
    public const PARAM_MULTILINE_STRING = 1;
    public const PARAM_INT = 2;
    public const PARAM_BOOL = 3;
    public const PARAM_EMAIL = 4;

    // param sources
    public const SOURCE_GET = 0;
    public const SOURCE_POST = 1;
    public const SOURCE_COOKIE = 2;
    public const SOURCE_SESSION = 3;
    public const SOURCE_CONFIG = 4;

    public function __construct()
    {
         $this->checkAndDieOnMagicQuotes();

         $this->checkAndDieOnRegisterGlobals();
    }

    public function getInput($paramname, $paramtype = $this->PARAM_SINGLELINE_STRING, $source = $this->SOURCE_GET, $extraoptions = array())
    {
          // validate parameters
          // if not valid log it and return default
          // else return parameter value
    }
}

[ Voor 25% gewijzigd door eghie op 13-11-2006 19:19 ]

eghie schreef op maandag 13 november 2006 @ 19:05:
Ben ik, en heel veel meer mensen, blij als PHP6 mainstream wordt en geen register_globals en magic_quotes_gpc worden ondersteund. Alleen wat dan weer jammer gaat worden is dat ze die functies dan zelf weer gaan bouwen.

Olaf van der Spek schreef op maandag 13 november 2006 @ 23:03:
[...]

Staat magic_quotes_gpc in 5.2 niet nog gewoon aan?
Het lijkt me handig als ze dat eerst uitzetten en dan pas verwijderen.

Ook zou het goed zijn als PHP de default config in overeenstemming brengt met alle veiligheidsmaatregelen die ze aanraden.

Ariën Clay schreef op maandag 13 november 2006 @ 13:34:
[...]

je kan ook de functie: is_numeric() gebruiken

1
2
3
4
5
6
7
8

<?php
...
function escape($psString)
{
      return (function_exists('mysql_real_escape_string') ? mysql_real_escape_string($psString) : addslashes($psString));
}
...
?>

l0c4lh0st schreef op dinsdag 14 november 2006 @ 14:32:
Het is trouwens, als je gebruik maakt van een database class, aan te raden om mysql_real_escape_string() te gebruiken (zoals iemand anders in dit topic ook al aangaf):

Verwijderd schreef op dinsdag 14 november 2006 @ 00:12:
[...]


Bedankt, dat is nou eens wat ik echt nodig had/zocht, uitgebreide en goed te begrijpen uitleg over security van php

BTW: Ik zal ook blij zijn zodra PHP6 uit is en mainstream is, zijn we (hopelijk toch) inderdaad van die irritante register_globals af (een oud stagiair (circa 2 jr terug) bij ons op het werk heeft dus het intranet geschreven met register_globals on )

[ Voor 5% gewijzigd door Janoz op 14-11-2006 14:50 ]

Dutch2007 schreef op dinsdag 14 november 2006 @ 14:46:
[...]


heb ergens wel een simpel stukje code, waar door ie dat met die magic quotes & register_globals checked, ken je die site/pages gewoon draaien terwijl de rest/PHP op register_globals = off staat

ooit uns gemaakt voor scriptje da, vrij oud was, en dit nodig had, (door script dus niet meer), script zorgt er inprincipe voor dat wat register_globals doet voor elke file, dat dat, alleen nog maar gebeurt voor die pages waar da stukkie code in zit (simpele include moet dan wel voldoende zijn )