[MySQL+PHP] mysqli::real_escape_string veilig genoeg?

[ Voor 18% gewijzigd door RobIII op 17-01-2010 14:55 ]

Maar nu vroeg ik me dus af, zijn er betere manieren? En ja, waarom dan?

[ Voor 6% gewijzigd door Cyphax op 17-01-2010 15:01 ]

RobIII schreef op zondag 17 januari 2010 @ 14:54:
Define "veilig genoeg". Het is sowieso belangrijk dat je het juist gebruikt (we zien het zooo vaak verkeerd gebruikt worden hier).
Wil je een andere (of het "beter" is laat ik in het midden, maar persoonlijk vind ik van wel) manier wil dan kun je eens kijken naar parameterized queries. Dan heb je al die flauwekul van escapen niet.

Dit stuk is niet van toepassing op de combinatie PHP/MySQL. Over hoe je SQL injection e.d. kan voorkomen lees je meer in de PHP FAQ over escapen in MySQL en beveiliging van websites.

[ Voor 12% gewijzigd door Aloys op 17-01-2010 15:07 . Reden: Stukje uit de FAQ ]

[ Voor 51% gewijzigd door jeroenikke op 17-01-2010 15:15 ]

jeroenikke schreef op zondag 17 januari 2010 @ 15:11:
Maar dat lukt wel als je PDO gebruikt in php. Dan kan je parameterized transactions uitvoeren.

1

$iPaginaID = intval($_GET['page']);

Aloys schreef op zondag 17 januari 2010 @ 15:18:
Dat bedoelde ik met platform, maar dat moest natuurlijk framework zijn. Overigens ben ik wel benieuwd hoe je de real_escape_string functie verkeerd kan gebruiken?

1
2
3
4

// $_POST is onveilig, want dat is user input
foreach ($_POST as $key => $value)
  $_POST[$key] = mysqli_real_escape_string($value);
// Yay, nu is mn $_POST 'veilig' en kan ik het lomp in de DB rossen

Ik kom er overigens nooit mee in aanrakingen, want ik werk alleen met ID's van pagina's. Dus integer waarden:

PHP:

1	$iPaginaID = intval($_GET['page']);

Dat lijkt mij voor integer waarden een hele veilige manier?

Aloys schreef op zondag 17 januari 2010 @ 15:05:
[...]

In het stukje FAQ waar jij naar linkt staat expliciet vermeld dat het niet voor PHP/MySQL opgaat. In PHP is er namelijk ook geen manier om parameters toe te voegen aan je query (tenzij je een platform gebruikt).

MueR schreef op zondag 17 januari 2010 @ 16:40:
Met dit stukje code neem ik even aan dat al je URLs ongeveer dit zijn: http://www.domein.nl/index.php?page=14. Dat is nou ook niet echt de meest ideale manier van werken. Zodra je human readable urls gaat gebruiken (domein.nl/bier/pizza/borrelnootjes.html) werk je plots met strings en zal je die dus wel op een goede manier in je query moeten stoppen.

[ Voor 81% gewijzigd door RobIII op 17-01-2010 21:01 ]

MueR schreef op zondag 17 januari 2010 @ 16:40:

Zoiets bijvoorbeeld:

PHP:

1 2 3 4

// $_POST is onveilig, want dat is user input foreach ($_POST as $key => $value) $_POST[$key] = mysqli_real_escape_string($value); // Yay, nu is mn $_POST 'veilig' en kan ik het lomp in de DB rossen

Jij hebt nooit formulieren op je pagina die verzonden worden? Je werkt nooit met een admin waar iemand een pagina aanmaakt? Dan kom je er inderdaad nooit mee in aanraking. De intval() functie is best nuttig in dat geval.

Met dit stukje code neem ik even aan dat al je URLs ongeveer dit zijn: http://www.domein.nl/index.php?page=14. Dat is nou ook niet echt de meest ideale manier van werken. Zodra je human readable urls gaat gebruiken (domein.nl/bier/pizza/borrelnootjes.html) werk je plots met strings en zal je die dus wel op een goede manier in je query moeten stoppen.

Aloys schreef op zondag 17 januari 2010 @ 21:20:
En dat is onveilig omdat je POST-vars niet kan aanpassen of niet de gehele array doorloopt?

Zoals je collega hierboven al zegt: Bij dynamische sites zul je altijd een unieke key moeten hebben. Het meest logisch is dan een ID. Overigens staat http://www.website.nl/*ID*/eventueel_een_nutteloze_naam
wel netter.

MueR schreef op zondag 17 januari 2010 @ 21:26:
Meer omdat je nog steeds totaal niet weet wat je nou eigenlijk je database in frot, laat staan of het uberhaupt nuttig is.

En dan krijg je een klant die perse een pagina structuur wil die ik al eerder aanhaalde, met nesting. Dan zul je toch alles moeten controleren

RobIII schreef op zondag 17 januari 2010 @ 20:33:
[...]

Dat stukje is dan outdated want het kan wel degelijk. Ook met MySQLi (waar dit topic over gaat).

[...]

1
2
3

    //Login
    $Login_Handle->Login(mysql_real_escape_string((string) $_POST['username']), 
                            mysql_real_escape_string((string) $_POST['password']));

[ Voor 12% gewijzigd door Voutloos op 17-01-2010 21:40 ]

Voutloos schreef op zondag 17 januari 2010 @ 21:39:
Maar het staat dan niet op de logische plek. Tijdens het schrijven van de aanroep heb je geen ene fuck met mysql of wat dan ook te maken. Dat hoort dus in login of zelfs nog dieper weggestopt, iig ergens bij code die iets met de db van doen heeft.

HuHu schreef op zondag 17 januari 2010 @ 21:40:
[...]

Dan moet je toch controleren op injections in je email-header, in je bericht, enz... Ook zomaar iets mailen is niet veilig.

(Vind het gewoon een leuke, interessante en nuttige discussie )

[ Voor 7% gewijzigd door Aloys op 17-01-2010 21:46 ]

Aloys schreef op zondag 17 januari 2010 @ 21:44:
Tja, daar heb ik eigenlijk nog niet over nagedacht. Gelukkig worden de mails als plain-text verstuurd.