sprintf() og mysql_real_escape_string()

Det man skal gør i dag, er at bruge http://php.net/mysqli med parameters, og glemme alt om sprintf, addslashes, mysql_real_escape_string. Det eneste bøvlede er at få fjernet de "slashes" som PHP selv kan vælge at sætte på input fra form-felter.

Eller fx http://dk.php.net/manual/en/book.pdo.php - også med parameters.

arg hvad er nu det for noget...bras.

så mysqli er en class?

Ja. Nye tider. Ik'?  ;)

mysqli kan også bruges uden "class" - der er to måder. Den ene ligne så den gamle måde at kalde funktioner på.

suk...

jeg orker næsten ikke at skal igang med det? desuden skal jeg så have en tekniker til at compilere det shit ind...

nå men tilbage til spørgsmålet

"Kan man ikke: mysql_query(mysql_real_escape_string($sql)) "  - nej! Du skal - hvis du gør det på denne måde - gøre det på hver værdi i '...'.

De bruger sikkert sprintf, fordi det er lettere at læse.

addslashes er ca. det samme som mysql_real_escape_string - den sidste bør bruges, da den "kender til" mysql.

Så det er ikke nødvendigt at bruge sprintf() ? det er bare fordi de kan? :)

Nej, det er ikke nødvendigt - men det gør det lidt mere overskueligt. Li'som hvis man bruger parameters.

thx
jeg ved godt hvad en parameter er, men ved ikke hvad du mener med parameters i denne forbindelse?

Som i eksemplet fra http://dk2.php.net/manual/en/mysqli.prepare.php hvor du lægger mærke til ?-et i SQL-sætningen, og anvendelsen af metoden bind_param.

undskyld jeg siger det, men hold da op hvor er det omstændigt? det gider jeg godt nok ikke hehe

Ja, så får du ikke job hos mig. Det er et ganske naturligt krav at stille.

så det godt jeg skal leve af at være pædagog og ikke programmør hehe

men kan årsagen til al den omstændighed formuleres ganske kort?

http://en.wikipedia.org/wiki/Sql_injection#Forms_of_SQL_injection_vulnerabilities
http://en.wikipedia.org/wiki/Sql_injection#Using_Parameterized_Statements

Så den korte forklaring er at den omstændighed er for at undgå sql injections?
is that it ? :)

Det er bl.a. derfor det er et naturligt krav at stille - sql-injections har jo flere gange givet anledning til sjove episoder. Men det er også for at lade systemet selv holde styr på datatyper - fx  programmeringssprog med en dato-type.

Der er 4 fordele ved parameters/prepared statement:
1)  du undgår problemer med legale data med ' i f.eks. O'Toole
2)  du undgår SQL injection
3)  du undgår problemer med dato formater
4)  du vil i mange tilfælde få bedre performance

(jeg er ikke helt klar over hvorvidt #3 og #4 gælder for PHP)

okay tak
så hvis jeg bruger mysql_real_escape_string() på hvert felt, så er det vist fint :)

Både og - hvis værdien kommer fra et felt i en form (eller querystring, eller cookie), kan der allerede være sat \-ere på, og så gør du dobbelt arbejde.

Der er også folk som synes at en Ford T er en fin bil !

<ole>

Der er i virkeligheden langt mindre arbejde - og væsentligt færre bekymringer - ved at bruge mysqli. Det væsentlige arbejde ved programmering ligger ikke i at skrive 'de par tegn', koden består af  ;o)

/mvh
</bole>

erik-> men sql injections er stadig forhindret.

hvad er der nu galt med en Ford T?

Til min kommentar mangler et link:  http://php.net/get-magic-quotes-gpc  - se eksemplet

"men sql injections er stadig forhindret." måske - kun måske - hvis du har husket det hver eneste gang. Det slipper man for at tænke på med "vores" metode. Og for en kritisk kunde, vil man kunne "bevise", at der ikke er problemer med sql-injections.

"Ford T" - kan sikkert ikke køre på blyfri benzin.

Hvis jeg skulle leve af det eller udover at være pædagog blot var nørdet nok (undskyld på forhånd, men at være nørdet er for mig ikke nedværdigende), så ville jeg nok også benytte mig af mysqli. Eller hvis jeg skulle lære mysql forfra.

jeg kan godt se det fra jeres syn :)

Det er ikke spor nørdet. Det er almindeligt håndværk.

men den kører, indtil nogen kommer blyfri på

Og så skal jeg lige huske at sige til dig, at talfelter også kræver opmærksomhed med din metode - det er også en fin indgang for sql-injektion for folk med skumle hensigter.

hvordan erik?
sikke en dejlig masse viden jeg får mig idag :)

Jah, ved at sikre dig at det er et tal...

Jeg læser dit indlæg som at man med tal gennem formfelter også kan give sqlinjections?

Hvad som helst input fra brugeren, der direkte eller indirekte havner i en SQL-sætning, har potentialet for SQL-injection.

jeg er interesseret i at vide hvordan talfelter i det du kalder min metode, kan lave sqlinjections

UPDATE konto SET point=$point WHERE brugernavn='$brugernavn'

her er point et tal felt.

Men hvis $point indeholder:

100 WHERE TRUE --

så bliver kommandoen til:

UPDATE konto SET point=100 WHERE TRUE -- WHERE brugernavn='foobar'

og så er der vist blevet uddelt lidt rigeligt point !

Hvis $point indeholder
  100 WHERE TRUE --
og du har en
  $stmt->bind_param('i', $point);
vil der aldrig kunne ske en sql-injection.

Men skulle "100 WHERE TRUE --" nå frem til det sted, er der nok noget andet galt ;)

det der "WHERE TRUE --" forstår jeg ikke lige hvad betyder

men det ville mysqli kunne forhindre at det laver skade?

jeg kan nu heller ikke se hvordan det skulle kunne komme så vidt i den almindelige metode... man sikrer sig jo at variablerne indeholde det de skal.

arne, ole, (erik) lig et svar
tak for en god tråd

-- starter en kommentar

Derfor vil
  UPDATE konto SET point=100 WHERE TRUE
udføre en update på alle poster i tabellen konto.

mysqli med parametre vil i mit eksempel forvente at $param indeholder et heltal ('i'), og derfor aldrig indsætte en streng.

"jeg kan nu heller ikke se" - men det sker alligevel en gang imellem. Du har måske tænkt på den direkte vej fra brugeren til tabellen, men måske er der den indirekte vej, hvor data kommer fra et felt i en tabel, og bliver brugt igen i en SQL-sætning.

Men det er inderligt ligegyldigt. Problemet med SQL-injections løses 100%, og uden sved på panden, ved at bruge parameters (eller tilsvarende). Så kan man bruge sine kræfter på resten af systemet.

Ingen point til mig, tak.

mysqli og prepared statement beskytter mod teknikken

escape string og addslashes beskytter muligvis mod teknikken - det kan man jo undersøge

SQL injection sker desværre en gang imellem. En af de mest kendte sager var Valus:
  http://www.computerworld.dk/art/17176
hvor man ved at angive SHUTDOWN i en passende URL kunne få database serveren til at lukke ned !

og et svar fra mig

Jeg forstår til en vis grad, at du synes, det er irriterende at skulle til at lære PHP'e MySQL håndtering om igen og fra bunden (selvom det faktisk langtfra er tilfældet). Det syntes jeg selv ved første øjekast, men blev lynhurtigt meget klogere!

Tro mig (, Arne og Erik - samt utallige andre): Det bliver faktisk meget lettere at kode PHP/MySQL i sidste ende ... og det er ret hurtigt lært  ;o)

det kan også godt ske at jeg bider det i mig en dag ogkigger på det :)

tak for deltagelsen

Et aktuelt eksempel: http://www.version2.dk/artikel/9448-universalmusicdk-hacket-i-juleboelge-af-sql-injektionsangreb
(hvis det passer hvad de skriver...)

Tak for points  ;o)