Sql-injectie en xss: foutieve informatie over mysql_real_e.. - Geachte redactie

maandag 19 maart 2012 22:08

Acties:

Topicstarter

Jullie hinten naar het gebruik van mysql_real_escape. Echter zit hier ook nog steeds een zeer gevaarlijke SQL injectie mogelijkheid in. Namelijk het gebruik van multi-byte characters.

Ik kan er zelf geen gedetailleerde uitleg over geven op dit moment, maar er zijn tal van websites die wel het e.e.a. beschrijven.

Hoe dan ook wordt mysql_real_escape ook 'behoorlijk' afgeraden en als onveilig gezien.

Een voorbeeld met uitleg en code: http://ilia.ws/archives/1...-Prepared-Statements.html (gevonden via google)

En zo zijn er nog tal voorbeelden.

maandag 19 maart 2012 22:21

Acties:

Voutloos

6 jaar oude blogpost, inmiddels is er mysql_set_charset() en ligt het toch echt aan jezelf als je de charset op een stokoude manier wijzigt, of de mist in gaat met de link_identifier parameter.

Uiteraard zijn prepared statements een goed idee, maar die worden dan ook niet voor niets genoemd.

{signature}

maandag 19 maart 2012 23:59

Acties:

daan.timmer

Topicstarter

Voutloos schreef op maandag 19 maart 2012 @ 22:21:
6 jaar oude blogpost, inmiddels is er mysql_set_charset()

6 jaar oud of niet. Het geldt nog steeds. En ik heb niet ergens iets in het verhaal gelezen over mysql_set_charset().

Prepared statements zijn ansich niet "een goed idee". Het is eigenlijk de 'enige way'. (Uiteraard voor die queries welke gebruik maken van user-input. Voor een simpele select query zonder user input is het niet nodig.