[PHP] SQL-injection?

1
2
3

<?php
mysql_query("SELECT id, naam FROM leden WHERE naam = '".mysql_real_escape_string($_GET['id'])."'");
?>

[ Voor 3% gewijzigd door AW_Bos op 19-02-2007 00:12 ]

Hacku schreef op maandag 19 februari 2007 @ 00:16:
Maar dat is niet veilig, want php maakt er dit van:

[ Voor 59% gewijzigd door disjfa op 19-02-2007 00:19 ]

Ariën Clay schreef op maandag 19 februari 2007 @ 00:12:
Mijn extra dvies:
gebruik ook mysql_real_escape_string() op je input voor je MySQL..

PHP:

1 2 3

<?php mysql_query("SELECT id, naam FROM leden WHERE naam = '".mysql_real_escape_string($_GET['id'])."'"); ?>

disjfa schreef op maandag 19 februari 2007 @ 00:17:
En dat is niet veilig omdat? Het weerhoud sql injection iig. Dat het waardes overschrijft met integers is waar, maar niet veilig is een heel ander feit.

Hacku schreef op maandag 19 februari 2007 @ 00:16:
Ja, dat is veilig. Als een string een niet numerieke waarde bevat wordt dat gewoon 0. Je kan ook casten:

PHP:

1	$module = (int) $_GET['module'];

Maar dat is niet betrouwbaar, want php maakt er dit van:

PHP:

1 2 3 4

$module = '5 een string'; $module = (int) $module; var_dump ( $module ); // result: int 5

Opletten dus met casten, intval is iig goed genoeg

PHP:

1 2 3 4

$module = intval ( $_GET['module'] ); if ( $module > 0 ) mysql_query ( 'INSERT INTO table' );

Bij zowel strings, als integers gebruik ik altijd addslashes($naam) en mysq_real_escape_string e.d.
Bij deze twee ben je meestal wel vrij van sql injections

Eh, ik zie geen voorbeeld van je query. Maar zolang je maar single quotes gebruikt om je client-side-aanpasbare input... (denk aan $_GET, $_POST en $_COOKIES ben je al erg veilig.

[ Voor 22% gewijzigd door GlowMouse op 19-02-2007 00:27 ]

intval($var) en (int)$var geeft voor zover mij bekend altijd precies hetzelfde resultaat, dus ik snap je post niet echt. Welke je gebruikt is een kwestie van conventie.

ID-College schreef op maandag 19 februari 2007 @ 00:19:
Bij zowel strings, als integers gebruik ik altijd addslashes($naam) en mysq_real_escape_string e.d.
Bij deze twee ben je meestal wel vrij van sql injections

eamelink schreef op maandag 19 februari 2007 @ 00:30:
[...]

Als je een integer veld hebt in je database hoef je daar niet persé quotes omheen te zetten in je query. Dan is het wel fijn om te zorgen dat er inderdaad een integer komt te staan op die plek en niet een al dan niet ge-mysql-real-escape-de string, want die kan nog steeds je query stuq maken

Dan vertrouw je op magic_quotes_gpc. Beter is om eerst te checken of magic_quotes_gpc aanstaat, en zoja je hele G/P/C variabelen te ontdoen van alle slashes. Heb je vervolgens iets nodig voor in de database, kun je er altijd weer mysql_real_escape_string overheen halen. Staat magic_quotes_gpc uit, dan heb je niks meer aan je single quotes omdat er in de input net zo goed een single quote kan staan.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

function strip_deep ( $data ) 
{
    foreach ( $data as & $item ) 
    {
        $item = is_array ( $item ) ? strip_deep ( $item ) : stripslashes ( $item );
    }

    return $data;
}

if ( get_magic_quotes_gpc() == 1 )
{
    $_GET = strip_deep ( $_GET );
    $_POST = strip_deep ( $_POST );
    $_COOKIE = strip_deep ( $_COOKIE ); 
}

Tevens staat op mysql.com een interessant PDFje over SQL Injection. Verplichte kost, me dunkt.

Verwijderd schreef op maandag 19 februari 2007 @ 12:05:
Maak er een gewoonte van aan binding en parametrisatie via prepared statements te doen in plaats van stringconcatenatie van user input met uw sql-query. Dan kan SQL-Injection nooit voorkomen.

Hacku schreef op maandag 19 februari 2007 @ 00:16:
Maar dat is niet betrouwbaar, want php maakt er dit van:

1
2
3
4

Dexter:~ Home$ php -r 'echo (int)"5 bananen","\n";'
5
Dexter:~ Home$ php -r 'echo intval("5 bananen"),"\n";'
5

[ Voor 22% gewijzigd door PrisonerOfPain op 19-02-2007 13:45 ]

Verwijderd schreef op maandag 19 februari 2007 @ 12:05:
Maak er een gewoonte van aan binding en parametrisatie via prepared statements te doen in plaats van stringconcatenatie van user input met uw sql-query. Dan kan SQL-Injection nooit voorkomen.

Verwijderd schreef op zaterdag 03 maart 2007 @ 21:28:
[...]


Sorry voor de kick, maar ik vond het zonde om een nieuw topic er voor te openen.

Misschien een noob-php (ben ik ook ) vraag, waar ik op php.net in de tutorial geen antwoord op kon vinden. Een gast die ik ken zei laatst, dat single quotues sneller geparsed worden dan double-quotes, dat heeft mij aan het denken gezet, en toen ik net weer mijn eigen topic doorlas, zag ik Arien's post weer, en dus mijn vraag, wat is nou het wezenlijke verschil tussen " en ' ??

1
2
3

$var = 'woot';
echo "Met dubbele quotes: $var\r\n";
echo 'Met single quotes: $var\r\n';

1
2
3
4
5

<?php 
$var = 'woot'; 
echo "Met dubbele quotes: ".$var." \r\n"; 
echo 'Met single quotes: '.$var.' \r\n'; 
?>

1
2
3

<?php
echo 'Dit is een $var ';
?>

[ Voor 12% gewijzigd door sky- op 03-03-2007 21:36 ]

k8skaaay schreef op zaterdag 03 maart 2007 @ 21:35:
Om het voorbeeld van hierboven maar even te corrigeren :

PHP:

1 2 3 4 5

<?php $var = 'woot'; echo "Met dubbele quotes: ".$var." \r\n"; echo 'Met single quotes: '.$var.' \r\n'; ?>

Want wanneer je bijv :

PHP:

1 2 3

<?php echo 'Dit is een $var '; ?>

Doet, krijg je ook als output : Dit is een $var..

k8skaaay schreef op zaterdag 03 maart 2007 @ 21:36:
Variabelen altijd buiten quotes halen.

k8skaaay schreef op zaterdag 03 maart 2007 @ 21:36:
Variabelen altijd buiten quotes halen.

Zweef je nog in PHP3 rond ?

1
2
3
4
5
6
7
8
9

<?php
$var = "witte";
echo "$varkaas";

// zo "moet" het dus :
echo $var."kaas";
// of single quoted :
echo $var.'kaas';
?>

[ Voor 15% gewijzigd door sky- op 03-03-2007 21:56 ]

k8skaaay schreef op zaterdag 03 maart 2007 @ 21:54:
Voorbeeld @ GlowMouse :

PHP:

1 2 3

<?php $var = "witte"; echo "$varkaas";

Wat krijg je nu als output ? Juist, helemaal niets. Wel dus variabelen buiten quotes halen. en ja , het is een crap voorbeeld. Maar dit komt vaak genoeg voor.

Verwijderd schreef op zaterdag 03 maart 2007 @ 22:58:
Maar waarom zijn ze sneller? Er moet een reden voor zijn lijkt me, want in principe bij het parsen, verschillen ' en " niet zo veel van elkaar. Misschien dat er eerst op ' wordt gescanned, maar dan zou het verwaarloosbaar moeten zijn. En het geeft nog steeds geen antwoord waarom Arien schreef:


[...]


imho moet er dan technisch verschil zijn als hij het zo stelt, toch?

Verwijderd schreef op zaterdag 03 maart 2007 @ 22:58:
Maar waarom zijn ze sneller? Er moet een reden voor zijn lijkt me, want in principe bij het parsen, verschillen ' en " niet zo veel van elkaar. Misschien dat er eerst op ' wordt gescanned, maar dan zou het verwaarloosbaar moeten zijn. En het geeft nog steeds geen antwoord waarom Arien schreef:


[...]


imho moet er dan technisch verschil zijn als hij het zo stelt, toch?

Verwijderd schreef op zaterdag 03 maart 2007 @ 22:58:
Maar waarom zijn ze sneller? Er moet een reden voor zijn lijkt me, want in principe bij het parsen, verschillen ' en " niet zo veel van elkaar. Misschien dat er eerst op ' wordt gescanned, maar dan zou het verwaarloosbaar moeten zijn. En het geeft nog steeds geen antwoord waarom Arien schreef:


[...]


imho moet er dan technisch verschil zijn als hij het zo stelt, toch?

[ Voor 99% gewijzigd door _js_ op 03-03-2007 23:20 . Reden: overbodig ]

MisterData schreef op zaterdag 03 maart 2007 @ 23:19:
[...]

Zou je PHP laten compileren naar bytecode (voorzover ik weet al wel mogelijk maar redelijk experimenteel) dan zouden ze at-runtime waarschijnlijk even snel zijn

mithras schreef op zondag 04 maart 2007 @ 00:07:
Als je een mega-grote dikke website hebt draaien die tig van dit soort outputs moet doen, _dan_ merk je verschil.

Toen ik begon met php was ik keurig alles met punten aan elkaar aan het plakken; nu door luiheid gewoon doortypen. Het werkt ook, de snelheid is verwaarloosbaar klein en met een goede php editor worden de variabelen binnen dubbele quotes ook netjes gehilighted. Geen probleem dus, en het typt stukken sneller.
Heb je elementen van arrays, dan doe ik voor de zekerheid wel accolades.

PHP:

1 2	echo "Test $variabele test"; echo "Test {$variabele["test"]} test";

Zo dus

1
2

echo 'Test' . $strVariabele . 'test';
echo 'Test' . $arrVariabele['test'] . 'test';

[ Voor 11% gewijzigd door Cartman! op 04-03-2007 11:27 ]

k8skaaay schreef op zaterdag 03 maart 2007 @ 21:35:

PHP:

1 2 3 4 5

<?php $var = 'woot'; echo "Met dubbele quotes: ".$var." \r\n"; echo 'Met single quotes: '.$var.' \r\n'; ?>

Cartman! schreef op zondag 04 maart 2007 @ 11:24:
[...]

Generiek,

sneller

en veiliger

Als jij met een probleem zit en je post de code van je zo op GoT zal ik je minder snel helpen dan met een duidelijk ge-highlight stukje code. Moet ik eerst ontcijferen hoe en welke variabelen je precies aanroept, nee dankje.

1
2
3
4
5
6

$this->display .= "<a name=\"newsitem\"></a>
                <h3>$caption</h3>
                <p class=\"blog-upper-notes\">Door <a href=\"user/profile/$user_id\">$user</a> op $date @ $time</p>
                $message
                <p class=\"blog-lower-notes\">$tags<br>
                $display_edit<a href=\"blog/$article/$caption_link.html\">Link</a> | $display_source $react_number</p>";

Toolskyn schreef op zondag 04 maart 2007 @ 12:43:
[...]

Dat gaat niet goed met single quotes, \r\n wordt niet geparsed, dus newlines moet je wel met dubbele quotes doen...

[ Voor 14% gewijzigd door mithras op 04-03-2007 13:00 ]