[MySQL] SELECT in procedure, waarschuwing lege resultset. - Softwareontwikkeling

donderdag 17 mei 2007 18:18

Acties:

Eersteklas beunhaas

Topicstarter

Ik ben bezig met een stored procedure in MySQL (5.0.38-log). In de procedure zit een SELECT ... INTO die 1 of 0 rijen teruggeeft.

Wanneer de SELECT geen rijen teruggeeft genereert de procedure een warning. Dit is een groot probleem omdat de gebruiker NIET mag zien of de query een resultaat oplevert.

Het gaat om de volgende procedure:

SQL:

CREATE PROCEDURE cram_init (login TEXT)
LANGUAGE SQL
NOT DETERMINISTIC
MODIFIES SQL DATA
SQL SECURITY DEFINER
BEGIN   
        DECLARE cram_challenge  TEXT    DEFAULT MD5(NOW() * RAND());
        DECLARE userid          INT;

        SELECT  
                uid
        INTO
                userid
        FROM
                user
        WHERE   
                username        =       login;

        IF NOT userid IS NULL THEN
                INSERT INTO
                        cram
                (
                        fk_uid,
                        challenge
                )
                VALUES
                (
                        userid,
                        cram_challenge
                )
                ON DUPLICATE KEY UPDATE
                        fk_uid          =       userid,
                        challenge       =       cram_challenge;
        END IF;
        SELECT challenge;
END

Wanneer je dus cram_init aanroept met een gebruikersnaam die in de tabel user voorkomt gaat het allemaal goed. Wanneer de username niet voorkomt krijg je een warning te zien. Dit kan worden gebruikt om te controleren of een gebruikersnaam bestaat en dat is ongewenst.

Hoe kan ik die warning onderdrukken of, beter nog, de query uitvoeren zonder dat er een warning wordt gegenereerd? Ik kan er zelf niets over vinden op google of op GoT.

Ik ontken het bestaan van IE.

donderdag 17 mei 2007 18:33

Acties:

Verwijderd

Kun je die warning niet in je serverside code (PHP?) afvangen ipv 'm naar de user te laten doorlekken?

donderdag 17 mei 2007 18:39

Acties:

cyberstalker

Eersteklas beunhaas

Topicstarter

Verwijderd schreef op donderdag 17 mei 2007 @ 18:33:
Kun je die warning niet in je serverside code (PHP?) afvangen ipv 'm naar de user te laten doorlekken?

Dat kan, maar dat is niet het punt. Ik schrijf de code in de veronderstelling dat de webserver gecompromitteerd kan worden en dus de logingegevens naar de database bekend zullen zijn.

De mysqlserver draait op een andere machine. Mocht de webserver dus gekraakt worden dan komen niet in een keer alle database gegevens op straat te staan (dan zullen ze dus ook de mysql server moeten kraken).

Ik ontken het bestaan van IE.

donderdag 17 mei 2007 21:29

Acties:

cyberstalker

Eersteklas beunhaas

Topicstarter

Probleem is opgelost. Ik heb gebruik gemaakt van handlers om simpelweg niets uit te voeren wanneer de warning ontstaat

.

Ik ontken het bestaan van IE.

vrijdag 18 mei 2007 09:01

Acties:

P.O. Box

je zou nog, alhoewel het niet echt een nette manier is m.i., kunnen doen:

SQL:

1	SELECT max(userid) AS userid FROM blabla

dan krijg je iig altijd een resultaat... namelijk NULL als er geen resultaat is, en bij 1 resultaat krijg je het juiste userid... als je meerdere gebruikers hebt met dezelfde login (wat niet logisch is maar bijv. kan als je dezelfde tabel voor meerdere applicaties gebruikt) werkt dit uiteraard niet....