php - Hvor sikker er det her? - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php mysqli

Bruger #15663 @ 01.05.12 17:41

Hejsa.

Jeg har aldrig før anvendt mysqli, og er derfor helt ude på dybt vand.

Hvor sikker er denne kode jeg har skrevet her?

Den er testet og virker.

PHP kode

 $stmt = $connect->prepare("SELECT name, url FROM sites");
                                      $stmt->execute();
                                      $stmt->bind_result($site_name, $site_url);
                                      while($stmt->fetch())
                                      {
                                          echo "<li>";
                                         echo "<a href='http://www." . $site_url ."'>";
                                         echo "<img src='images/mainWebsite.png' alt='' />";
                                         echo "<span>" . $site_name . "</span>";
                                         echo "</a>";
                                         echo "</li>";
                                      }

6 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 9 karma

Sorter efter stemmer Sorter efter dato

Bruger #17015 @ 02.05.12 17:18

614

Jeg plejer at bruge PDO, så jeg skal ikke kunne udtale mig om det konkrete tilfælde.

Men som tommelfingerregel så skal man altid bruge prepared statements når man har input som kommer fra brugeren.

Desuden skader det ikke med lidt inputvalidering på forhånd - for eksempel bare et tjek på om dit input nu også er af den type du forventer. Der er ingen grund til at starte et mysql kald hvis du på forhånd kan se at id'et der kommer fra brugeren er en streng og ikke et tal... Det er en slags intelligent fejlhåndtering :p

For resten må jeg henvise til de andre debatører eller PHP-manualen. Det fedeste ved PHP er hvor grundig og nemt tilgængelig dokumentationen er. Hvis du ikke på forhånd har gjort det, så kan du med fordel studere den. Og især de følgende links:
http://www.php.net/manual/en/book.mysqli.php
http://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php

For øvrigt kan jeg (af manualen) se, at Kenneth har ret i den måde han bruger bind_param på. http://php.net/manual/en/mysqli-stmt.bind-param.php (Dog skal man være opmærksom på at det første parameter ("ss") er ikke bare antallet af spørgsmålstegn - men også typen af de ubekendte...)

Bruger #3427 @ 01.05.12 17:50

1.520

ser ikke ud til du har nogle bruger input, så der er ikke så meget at være bange for =)

ellers har jeg værtfald misforstået

Bruger #3427 @ 01.05.12 18:18

1.520

Nej har ingen brugerinput på dette.

Men det vil jo minde en del om det når jeg henter med brugerinput eller hvad?

nu er jeg ikke nogen haj til mysqli, men ved dog du skal bruge prepared statements, når du vil bruge bruger input.

PHP kode

 <?php
 $mysqli = new mysqli("localhost", "my_user", "my_password", "world");
 
 /* check connection */
 if (mysqli_connect_errno()) {
     printf("Connect failed: %s\n", mysqli_connect_error());
     exit();
 }
 
 $city = "Amersfoort";
 
 /* create a prepared statement */
 if ($stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) {
 
     /* bind parameters for markers */
     $stmt->bind_param("s", $city);
 
     /* execute query */
     $stmt->execute();
 
     /* bind result variables */
     $stmt->bind_result($district);
 
     /* fetch value */
     $stmt->fetch();
 
     printf("%s is in district %s\n", $city, $district);
 
     /* close statement */
     $stmt->close();
 }
 
 /* close connection */
 $mysqli->close();
 ?>

taget fra: http://php.net/manual/en/mysqli.prepare.php

Bruger #15663 @ 01.05.12 18:13

415

Nej har ingen brugerinput på dette.

Men det vil jo minde en del om det når jeg henter med brugerinput eller hvad?

Bruger #15663 @ 01.05.12 18:25

415

Hvad så hvis man har flere parameter?

Bruger #3427 @ 01.05.12 18:37

1.520

vil tro man kan sende et array eller gøre sådan her

$stmt = $mysqli->prepare("INSERT INTO tbl (a, b) values (?, ?)");
$a = "str1";
$b = "str2";
$stmt->bind_param('ss', $a, $b);

Hvor sikker er det her?

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler