/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
php/mysql og sikkerhed?
Fra : Tonni Aagesen


Dato : 02-02-01 23:22

Hej NG,

Nu har jeg efter hånden fået det meste af min hjemmeside skruet sammen med
php/mysql. Men så melder der sig et spørgsmål:
Hvordan med sikkerheden mht. INSERT INTO. Jeg mener at have læst et sted, at
det er muligt at sætte en stump kode i et inputfelt, der så kan ødelægge
databasen, vist nok noget med slashes. Jeg spørger, fordi jeg i nogle
tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle problemer?
Er der andet, jeg skal være opmærksom på?

Mvh
Tonni Aagesen



 
 
Troels Arvin (03-02-2001)
Kommentar
Fra : Troels Arvin


Dato : 03-02-01 01:40

On <yCFe6.24050$l57.1079708@news000.worldonline.dk>, "Tonni Aagesen"
<delphin@worldonline.dk> wrote:

> Jeg spørger, fordi jeg i nogle
> tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle
> problemer? Er der andet, jeg skal være opmærksom på?

INSERTs er egentlig ikke så farlige igen. De farlige er UPDATE og DELETE
operationer.

Er din PHP sat op med magic_quotes_gpc slået til eller fra?

Se også:
http://www.phpbuilder.com/forum/archives/2/2000/07/4/102845

--
Greetings from Troels Arvin, Copenhagen, Denmark

Tonni Aagesen (03-02-2001)
Kommentar
Fra : Tonni Aagesen


Dato : 03-02-01 04:23

Tak, "magic....." er slået til.

Mvh
Tonni Aagesen

"Troels Arvin" <troels@arvin.dk> skrev i en meddelelse
news:mrIe6.11221$zw.175875@twister.sunsite.dk...
> On <yCFe6.24050$l57.1079708@news000.worldonline.dk>, "Tonni Aagesen"
> <delphin@worldonline.dk> wrote:
>
> > Jeg spørger, fordi jeg i nogle
> > tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle
> > problemer? Er der andet, jeg skal være opmærksom på?
>
> INSERTs er egentlig ikke så farlige igen. De farlige er UPDATE og DELETE
> operationer.
>
> Er din PHP sat op med magic_quotes_gpc slået til eller fra?
>
> Se også:
> http://www.phpbuilder.com/forum/archives/2/2000/07/4/102845
>
> --
> Greetings from Troels Arvin, Copenhagen, Denmark



Troels Arvin (03-02-2001)
Kommentar
Fra : Troels Arvin


Dato : 03-02-01 18:42

On <C0Ke6.24382$l57.1099386@news000.worldonline.dk>, "Tonni Aagesen"
<delphin@worldonline.dk> wrote:

> Tak, "magic....." er slået til.

OK. Det sikrer dig mod visse sikkerhedsproblemer, hvis du da er varsom
med data, som du har kørt stripslashes() på.

(Til gengæld er magic_quotes_gpc efter min mening ret irriterende i
ikke-database sammenhænge.)

--
Greetings from Troels Arvin, Copenhagen, Denmark

Jonathan Stein (03-02-2001)
Kommentar
Fra : Jonathan Stein


Dato : 03-02-01 19:30

Troels Arvin wrote:

> > Jeg spørger, fordi jeg i nogle
> > tilfælde køre en stripslashes inden INSERT INTO. Giver det nogle
> > problemer? Er der andet, jeg skal være opmærksom på?
>
> INSERTs er egentlig ikke så farlige igen. De farlige er UPDATE og DELETE
> operationer.

Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT sætning?

M.v.h.

Jonathan





Troels Arvin (03-02-2001)
Kommentar
Fra : Troels Arvin


Dato : 03-02-01 20:34

On <3A7C1E4F.46D062FA@image.dk>, "Jonathan Stein" <jstein@image.dk>
wrote:

> Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT
> sætning?

Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Jonathan Stein (03-02-2001)
Kommentar
Fra : Jonathan Stein


Dato : 03-02-01 21:05

Troels Arvin wrote:

> > Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT
> > sætning?
>
> Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
> åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.

Med safe-mode/magic-quetes/what-ever eller altid? Det virker da lidt
"pyldret", hvis man slet ikke har mulighed for det.

M.v.h.

Jonathan




Troels Arvin (04-02-2001)
Kommentar
Fra : Troels Arvin


Dato : 04-02-01 04:42

On <3A7C6530.C30DF009@image.dk>, "Jonathan Stein" <jstein@image.dk>
wrote:

> Med safe-mode/magic-quetes/what-ever eller altid?
Altid.

> Det virker da lidt "pyldret", hvis man slet ikke har mulighed for det.
Ja, det skulle man umiddelbart tro. Imidlertid har jeg aldrig oplevet
det i praksis indtil jeg opstillede en konkret, tilpasset test-side for
at teste det.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Jonathan Stein (04-02-2001)
Kommentar
Fra : Jonathan Stein


Dato : 04-02-01 19:49

Troels Arvin wrote:

> > Det virker da lidt "pyldret", hvis man slet ikke har mulighed for det.
> Ja, det skulle man umiddelbart tro. Imidlertid har jeg aldrig oplevet
> det i praksis indtil jeg opstillede en konkret, tilpasset test-side for
> at teste det.

M'kay - jeg har heller ikke haft brug for det, men det er da rart at vide,
hvis man en dag skulle komme til at få sådanne tanker...

M.v.h.

Jonathan




Christian Laursen (04-02-2001)
Kommentar
Fra : Christian Laursen


Dato : 04-02-01 16:10

Jonathan Stein <jstein@image.dk> writes:

> Troels Arvin wrote:
>
> > > Kan et semikolon ikke gøre ret grimme ting - også efter en INSERT
> > > sætning?
> >
> > Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
> > åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.
>
> Med safe-mode/magic-quetes/what-ever eller altid? Det virker da lidt
> "pyldret", hvis man slet ikke har mulighed for det.

Næh, det er da en rimelig normal måde at opføre sig på.

At man kan bruge ; nogen steder skyldes udelukkende, at frontenden giver
mulighed for det og selv splitter op i seperate queries.

--
Med venlig hilsen
Christian Laursen

Jonathan Stein (04-02-2001)
Kommentar
Fra : Jonathan Stein


Dato : 04-02-01 19:49

Christian Laursen wrote:

> > Med safe-mode/magic-quetes/what-ever eller altid? Det virker da lidt
> > "pyldret", hvis man slet ikke har mulighed for det.
>
> Næh, det er da en rimelig normal måde at opføre sig på.
>
> At man kan bruge ; nogen steder skyldes udelukkende, at frontenden giver
> mulighed for det og selv splitter op i seperate queries.

Jeg har indtryk af, at de fleste SQL-servere kan modtage flere
forespørgsler i et kald, og tilsvarende svare med flere resultat-sæt?

M.v.h.

Jonathan





Peter Brodersen (04-02-2001)
Kommentar
Fra : Peter Brodersen


Dato : 04-02-01 04:15

On Sat, 03 Feb 2001 19:34:21 GMT, "Troels Arvin" <troels@arvin.dk>
wrote:

>Det skulle man umiddelbart tro, ja. Men i PHP er det i hvertfald
>åbenbart således, at semikolonner er ulovlige i MySQL-udtryk.

Vel sandsynligvis af samme grund? Eller også for at der kunne
argumenteres om hvilken result-pointer, der i så fald skulle smides
tilbage, etc.?


--
- Pede
Professionel nørd

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408878
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste