[php/mysql]escape voor een spatie of @ - Softwareontwikkeling

vrijdag 7 november 2014 21:32

Acties:

Topicstarter

Ik heb een php script dat waarden uit een form in een mysql tabel post.

Alleen werkt dit alleen als er geen spaties, @ of andere rare tekens in staan.

Ik heb geprobeerd om mijn code veilig te maken tegen exploitatie door mijn variabelen door de volgende code te halen:

PHP:

function fInput($data) {

  $data = trim($data);                                             
  $data = stripslashes($data);

  $data = htmlspecialchars($data);

        if (!preg_match("/^[a-zA-Z0-9. ]*$/",$data)) {

  $nameErr = "Alleen letters, cijfers en/of spaties toegestaan";

    echo '<script type="javascript">alert($nameErr);</script>';

        }

Hier gaat het waarschijnlijk mis. Hoe krijg ik nu een naam van een contactpersoon goed in mijn tabel. Zonder werkt het wel.

De insert is gewoon

PHP:

1 2	$contactpersoon = $fInput($_POST ['Contactpersoon ']; INSERT INTO `tabel`(`contactpersoon`,`email`) VALUES ($contactpersoon, $email);

[ Voor 3% gewijzigd door Paultje3181 op 07-11-2014 21:35 ]

vrijdag 7 november 2014 21:51

Acties:

PolarBear

Een spatie, @ etc zijn geen rare tekens. Daar gaat het al een beetje mis.

Ik ken PHP niet zo goed maar je kan in PHP vast iets al parameterized queries gebruiken.

vrijdag 7 november 2014 21:54

Acties:

dennistd

Misschien zeg ik nu wel iets heel doms, maar werkt dit niet gewoon?
INSERT INTO `tabel`(`contactpersoon`,`email`) VALUES ('$contactpersoon', '$email');

vrijdag 7 november 2014 22:03

Acties:

sjroorda

Allereerst is de punt in de regular expression in preg_match een "matches all", dus deze regexp zal alles goedkeuren. Escape hem:

PHP:

1	if (!preg_match("/^[a-zA-Z0-9\. ]*$/",$data))

De waarden in je query moet je met quotes eromheen doen, anders is de query ongeldig. Dat is de reden dat "het met vreemde tekens niet werkt". Denk ook aan escapen om MySQL-injection te voorkomen.

vrijdag 7 november 2014 22:05

Acties:

RedHat

http://php.net/manual/en/filter.filters.validate.php

Hoef je geen regex voor te gebruiken. (Als het om email gaat).

Als het om namen gaat, waarom wil je restricties invoeren? Gewoon paramatrized query's gebruiken met een maxlenght op het invulveld (en controle in php), en dan kom je toch een heel eind? Als iemand een @ als naam wilt, wat boeit dat. Je kan allemaal restricties inbouwen, maar als één of andere rus zijn naam in wilt voeren krijg je problemen. Je moet niet alles als gevaar zien.

Als je echt wilt 'valideren' dan zijn er genoeg REGEXen te vinden als je google op regex complete name oid.

Er zijn geen gevaarlijke tekens in zowel PHP als MySQL. Je denkwijze is verkeerd. Het gevaar is alleen hoe bepaalde tekens danwel of niet uitgevoerd worden.

Je kan zoeken op mysql_real_escape of gebruik paramatrized querys. Deze kun je googlen en dan kom je echt een heel eind.

$contactpersoon = $fInput($_POST ['Contactpersoon '];

Ik zie een spatie teveel..

En voor de rest moet je goed nadenken wat je precies wilt. Je wilt dat HTML tags omgezet worden, maar vervolgens valideer je naar [A-Z][a-z][0-9]... Ik ken geen HTML tag die daar aan voldoet.

[ Voor 113% gewijzigd door RedHat op 07-11-2014 22:14 ]

vrijdag 7 november 2014 23:41

Acties:

Solopher

Als ik jou was zou ik dit niet proberen zelf op te lossen, maar voor een eenvoudige oplossing gaan namelijk gaan werken met PDO Prepared statements:

Hier heb je een introductie:
http://php.net/manual/en/parametrized-statements.php

Er is overigens ook een stuk geschreven in de FAQ, deze is wel outdated maar hierbij wordt de bedoeling een beetje uitgelegd. parametrized en prepaired statements zijn overigens hetzelfde alleen een andere benaming.
Programming FAQ - SQL