SQL database stopt met vastleggen records na 128 records

[ Voor 21% gewijzigd door stfn345 op 06-11-2010 10:45 ]

[ Voor 3% gewijzigd door Trucker Her op 06-11-2010 11:56 ]

Frankster schreef op zaterdag 06 november 2010 @ 11:27:
Gebruikte query:
INSERT INTO `XXXXXDATABASENAAMXXX`.`test` (`id`, `ip`, `tijd`, `oplossingen`) VALUES ('129', '123.123.123.123', '2010-11-06 11:26:00', '12'), (NULL, '', '', '');

Frankster schreef op zaterdag 06 november 2010 @ 11:27:
Als ik in tabel 'test' een rij toevoeg krijg ik de volgende foutmelding:

2 rij(en) toegevoegd.
Toegevoegd rij nummer: 131
Warning: #1264 Out of range value adjusted for column 'tijd' at row 2
Warning: #1366 Incorrect integer value: '' for column 'oplossingen' at row 2

Gebruikte query:
INSERT INTO `XXXXXDATABASENAAMXXX`.`test` (`id`, `ip`, `tijd`, `oplossingen`) VALUES ('129', '123.123.123.123', '2010-11-06 11:26:00', '12'), (NULL, '', '', '');

Remus schreef op zaterdag 06 november 2010 @ 15:32:
Wat me wel opvalt is dat je quotes om je getallen hebt staan, en dus strings gebruikt, waarom gebruik je strings voor getallen?

1
2
3
4
5

<?php
$var = "1 OR true";
$query = "SELECT * FROM tabel WHERE id = ".mysql_real_escape_string($var);
echo $query;
?>

1
2
3
4
5

<?php
$var = "1 OR true";
$query = "SELECT * FROM tabel WHERE id = '".mysql_real_escape_string($var)."'";
echo $query;
?>

Nu is het misschien zo dat SQL implementaties die moeten omzetten naar getallen, maar je kan het net zo goed beter niet doen. Daarmee geef je voor iemand die je query leest ook duidelijk aan dat het betreffende veld geen string is.

cariolive23 schreef op zaterdag 06 november 2010 @ 15:42:

PHP:

1 2 3 4 5

<?php $var = "1 OR true"; $query = "SELECT * FROM tabel WHERE id = ".mysql_real_escape_string($var); echo $query; ?>

En ziedaar, een fijn gehackte query die alle data ophaalt i.p.v. slechts de records met id=1

Mét quotes gaat het wél goed:

PHP:

1 2 3 4 5

<?php $var = "1 OR true"; $query = "SELECT * FROM tabel WHERE id = '".mysql_real_escape_string($var)."'"; echo $query; ?>

Nu zal de query keihard mislukken, er is geen enkel id aanwezig met de waarde '1 OR true'. (aangenomen dat het id een integer is)

[ Voor 7% gewijzigd door doeternietoe op 06-11-2010 15:55 ]

doeternietoe schreef op zaterdag 06 november 2010 @ 15:53:
[...]

Leuk bedacht, als het niet zo was dat de functie mysql_real_escape_string() helemaal niet bedoeld is om SQL injections met integers te voorkomen.

Zoals de naam het al zegt moet je deze functie gebruiken voor strings.

Voor integers zou ik eerder denken aan functies als is_int() of intval(). Als vast staat dat een ingevoerde waarde werkelijk een integer is, mag deze echt zonder quotes in de query.

Indien beschikbaar zou het gebruik van prepared statements overigens het einde van de discussie betekenen, omdat je dan toch het meeste werk uit handen wordt genomen.

1
2
3
4
5

<?php 
$var = "1 OR true"; 
$query = "SELECT * FROM tabel WHERE id = $1"; // $1 is een placeholder, quotes heb je nooit nodig voor placeholders
$result = pg_query_params($query, array($var)); // zal keihard falen, $var is geen integer 
?>

cariolive23 schreef op zaterdag 06 november 2010 @ 16:45:
[...]

In 9 van de 10 tutorials over SQL injection i.c.m. PHP en MySQL wordt dit echter wel als oplossing aangedragen en 9 van de 10 stukken code gebruiken het ook op deze wijze. Dan is het wel zo handig om het goed te doen.

[...]

Mee eens, alleen jammer dat PHP de hele wereld aanziet voor een string

[...]

Helemaal waar, je voelt er alleen helemaal niets van door er quotes om te zetten. Dat is echt niet fout en het kan problemen voorkomen.

[...]

MySQL heeft een beroerde ondersteuning voor prepared statements en alleen wanneer je de mysqli-functies van PHP gebruikt (of PDO die mysqli gebruikt) heb je de beschikking over prepared statements. Dat levert dan wel weer extra werk op, wat in feite onnodig is.

The parameter markers must be bound to application variables using mysqli_stmt_bind_param() and/or mysqli_stmt_bind_result() before executing the statement or fetching rows.

If a prepared statement with the given name already exists, it is deallocated implicitly before the new statement is prepared. This means that if the new statement contains an error and cannot be prepared, an error is returned and no statement with the given name exists.

Trucker Her schreef op zaterdag 06 november 2010 @ 22:13:
Ehm, ja. Leuke discussie. Heeft dit nog maar iets met het topic te maken?

NMe schreef op zaterdag 06 november 2010 @ 23:28:
[...]

Prepared statements i.c.m. mysqli werken prima en doen gewoon wat ze moeten doen.

1

$query->execute(array('foo', 'bar'));

1
2
3

$foo = mysql_real_escape_string($foo);
$bar= mysql_real_escape_string($bar);
mysql_query('blabla $foo blabla $bar');

NMe schreef op zondag 07 november 2010 @ 02:19:
Mwah, op kantoor hebben we een eigen databaseclass die een afgeleide class heeft voor elke database-engine die we ooit nodig gehad hebben. Daar roepen we een query als volgt aan:

PHP:

1	$db->Query("SELECT * FROM tabel WHERE foo = %bar", array('bar' => $bar));

Onder water wordt het netjes uitgewerkt tot een veilige query voor die specifieke DB-engine. Mijn punt is dan ook dat het niet zozeer uitmaakt hoe de standaardfuncties precies werken, aangezien je meestal toch je eigen interface maakt om te zorgen dat je framework niet afhankelijk wordt van de gekozen database.

Voor de T-SQL-implementatie van die class heb ik nog een nifty methode geschreven om te zorgen dat LIMIT-query's alsnog blijven werken, scheelde wat herschrijven van query's.

[ Voor 4% gewijzigd door Matis op 07-11-2010 16:22 ]

Matis schreef op zondag 07 november 2010 @ 16:22:
[...]

Hoe weet jouw interface dan welk datatype $bar is/moet zijn? Ik bedoel, bij PDO kun je aangeven wat voor parameter je variabele moet hebben.