php - MySQL-sikkerhed - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #4769 @ 29.10.07 11:11

Hej,

Jeg har et for erfarne MySQL-brugere sikkert stupidt spørgsmål.

Når jeg har et query, der fx hedder:

Kode

SELECT * FROM database WHERE groupid=$id

Er det så ikke muligt at brugeren kan lave noget harmfuldt ved at ændre $id globalt når formen sendes. Fx hvis brugeren i URL'en skrev "www.eksempel.dk/?action=submitform&id=3 ORDER BY nr", så bliver query'et til

Kode

SELECT * FROM database WHERE groupid=3 ORDER BY nr

Nu sker der ikke noget slemt ved at rækken sorteres, men brugeren har med succes kunnet ændre query'et. Findes der nogen effekt måde at sikre dette? Er det tilstrækkeligt at skrive '$groupid', altså med gåseøjne omkring? Sidder med følelsen af at det ikke er.

Indlæg senest redigeret d. 29.10.2007 11:13 af Bruger #4769

6 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 9 karma

Sorter efter stemmer Sorter efter dato

Bruger #3275 @ 29.10.07 11:34

1.736

PHP har nogle indbyggede sikkerhedsfunktioner (der iblandt magic_quotes_gpc) som gør at det ikke kan lade sig gøre. Denne funktion udgår dog i næste version af PHP (PHP6) og så skal man selv sørge for at sanitize dine queries.

Bruger #4315 @ 29.10.07 14:19

folk gør det på mange forskellige måder,

nogen skriver simpelthen deres sql statements på denne her måde

$query = "SELECT ..... WHERE id='addslashes($id)'";

hvor imod andre gør det at de manuelt laver magic quotes ved at lave en foreach løkke på $_GET og $_POST

Personligs har jeg selv lavet et lille objekt jeg hiver alt bruger input igennem, og på den måde garanterer at intet bruger input der ikke er valideret kommer videre, det sker i form af at objektet melder en fejl hvis du prøver at bruge noget der ikke er valideret

Bruger #10216 @ 29.10.07 19:07

4.283

Jeg syn's lige at jeg burde henvise til safeSQL:

http://www.phpinsider.com/php/code/SafeSQL/

Bruger #4769 @ 29.10.07 11:37

PHP har nogle indbyggede sikkerhedsfunktioner (der iblandt magic_quotes_gpc) som gør at det ikke kan lade sig gøre. Denne funktion udgår dog i næste version af PHP (PHP6) og så skal man selv sørge for at sanitize dine queries.

Tak for svaret.

Men det gøres hvordan? - Hvis man selv skal sikre dem?

Bruger #4769 @ 29.10.07 15:15

folk gør det på mange forskellige måder,

nogen skriver simpelthen deres sql statements på denne her måde

$query = "SELECT ..... WHERE id='addslashes($id)'";

hvor imod andre gør det at de manuelt laver magic quotes ved at lave en foreach løkke på $_GET og $_POST

Personligs har jeg selv lavet et lille objekt jeg hiver alt bruger input igennem, og på den måde garanterer at intet bruger input der ikke er valideret kommer videre, det sker i form af at objektet melder en fejl hvis du prøver at bruge noget der ikke er valideret

Tak for svaret. Jeg tror jeg forsøger det med GET/POST. Hvordan skal sådan en foreach-løkke se ud?

Bruger #4769 @ 29.10.07 20:04

Jeg takker for hjælpen.

Det der SafeSQL ser ud til at være det jeg står og mangler, og hvis jeg ikke får det til at fungere kan jeg altid bruge GET/POST-metoden.

MySQL-sikkerhed

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler