[PHP] SQL uit invoer halen

zondag 29 september 2002 15:51

Acties:

0 Henk 'm!

Topicstarter

Ik ben bezig met een login systeem.
Als je niet ingelogd bent krijg je een schermpje waar je je username en password in kan vullen.
Als je dat dan verstuurd wordt de data vergeleken met data uit de database.
Maar ik zat te denken als je in het username vakje een stuk SQL query in gaat zitten tikken (DELETE statement bijv.) dan zou dit best eens een vervelend lek kunnen zijn.

Dus ik vroeg mij af of er een eenvoudige manier is om er voor te zorgen dat er geen code met malafide resultaten doorheen komt.

The NS has launched a new space transportation service, using German trains which were upgraded into spaceships.

zondag 29 september 2002 15:52

Acties:

0 Henk 'm!

Eskimootje

addslashes toevoegen aan elke string zoek even op php.net naar addslashes en stripslashes enzo

zondag 29 september 2002 15:54

Acties:

0 Henk 'm!

ACM

Software Architect

Werkt hier

Php

mysql_escape_string toepassen (of iets soortgelijks voor jouw db) en alle strings netjes tussen '' zetten.
checken of alle getallen wel getallen zijn etc.

zondag 29 september 2002 15:56

Acties:

0 Henk 'm!

Tux

Topicstarter

Maar als iemand dit DELETE * FROM blaat als username invult veranderd er door addslashes() nix aan.

Ik zit onderhand te denken om gewoon een array met verboden nicks te filteren (DELETE, ALTER, UPDATE enzow).

The NS has launched a new space transportation service, using German trains which were upgraded into spaceships.

zondag 29 september 2002 15:59

Acties:

0 Henk 'm!

gorgi_19

Kruimeltjes zijn weer op :9

Tux schreef op 29 september 2002 @ 15:56:
Maar als iemand dit DELETE * FROM blaat als username invult veranderd er door addslashes() nix aan.

Ik zit onderhand te denken om gewoon een array met verboden nicks te filteren (DELETE, ALTER, UPDATE enzow).

Erhmm.. Waarom?
Wat is er mis met als naam "Delete"?
Hij voor dit niet uit hoor... (mits je je query goed opbouwd)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 29 september 2002 16:01

Acties:

0 Henk 'm!

Tux

Topicstarter

gorgi_19 schreef op 29 september 2002 @ 15:59:
[...]

Erhmm.. Waarom?
Wat is er mis met als naam "Delete"?
Hij voor dit niet uit hoor... (mits je je query goed opbouwd)

Een query als:

SELECT id,username,password FROM members WHERE username='$username'

Dus als $username DELETE * FROM members is dan kan er niets mis gaan?

The NS has launched a new space transportation service, using German trains which were upgraded into spaceships.

zondag 29 september 2002 16:01

Acties:

0 Henk 'm!

Eskimootje

Dat lijkt me een beetje overdreven alles netjes tussen "" zetten is voldoende.

Je zou hooguit een foutmelding kunnen krijgen als je dit niet doet omdat je query dan fout id deleten kunnen ze echt niet.

zondag 29 september 2002 16:02

Acties:

0 Henk 'm!

ACM

Software Architect

Werkt hier

Php

Als je als username "delete * from blaat" invoert wordt de uiteindelijke query iets als:
select * from blaat where username = 'delete * from blaat'

en daar is toch geen probleem mee ,het is wel een suffe naam natuurlijk