Het beveiligen van een applicatie start altijd met weten wat je doet, niet zo maar iets doen en dan hopen dan het veilig is. Als ik dit soort lijnen code zie vraag ik me altijd af of de kennis er wel is. Dus als eerste de vraag: waartegen wil je beveiligen? Probeer bij elke regel dan ook eens te vermelden waarom je die regel nodig denkt te hebben.
Je mist vooral controles. Ik zal ze voor je nummeren.
<?php
// (1) Is $_POST['bloopp'] ingesteld en (2) is $_POST['bloopp'] niet leeg?
if (isset($_POST['bloopp']) && !empty($_POST['bloopp'])) {
// (3) Is $_POST['bloopp'] een string?
if (is_string($_POST['bloopp'])) {
// (4) Gebruikt deze server nog verouderde magic quotes?
if (get_magic_quotes_gpc()) {
$_POST['bloopp'] = strip_slashes($_POST['bloopp']);
}
$_POST['bloopp'] = strip_tags($_POST['bloopp']);
$_POST['bloopp'] = htmlspecialchars($_POST['bloopp']);
$link = mysqli_connect($db_hostname, $db_username, $db_password, $db_database);
// (5) Is er geen fout opgetreden bij het openen van de databaseverbinding?
if (!mysqli_connect_error()) {
// (6) Kan de juiste MySQL-karakterset worden ingesteld?
if (mysqli_set_charset($link, 'utf8')) {
$_POST['bloopp'] = mysqli_real_escape_string($link, $_POST['bloopp']);
// Hier een prepared statement opstellen en uitvoeren.
// <...>
}
}
}
}
?>
Ik heb inderdaad weinig kennis van beveiliging. Nu weet ik hoe ik duidelijk een script moet opstellen!
Beste Ward
Hartelijk dank voor het opstellen van een veilige code! Ik zal deze zo onmiddellijk veranderen!
Op de regel 'hier een prepared statement opstellen en uitvoeren', kan ik mijn eigenlijke code uitvoeren, zoals het controleren of het tijdverschil met de vorige bloopp groot genoeg is en vervolgens $_POST['bloopp'] naar de database verzenden?
$check="SELECT TIMESTAMPDIFF(MINUTE, send_time, CURRENT_TIMESTAMP) AS 'diff' FROM bloopp WHERE email = '$email' ORDER BY bloopp_id DESC LIMIT 1";
$res = mysqli_query($link, $check) or die("Error " . mysqli_error($res));
$data = mysqli_fetch_array($res, MYSQLI_ASSOC);
Nogmaals erg bedankt! Het is altijd fijn om zeker te zijn dat je website veilig is! ;-)
Omdat ik niet wist wat een prepared statement is. Ik dacht dat dit gewoon de verdere code was, wat dus blijkbaar niet zo blijkt te zijn. Dit heb ik nu opgezocht op Wikipedia en ik heb dit gevonden:
$stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?");
$stmt->execute(array($username, $password));
Is zoiets in het algemeen wat U bedoelt?
Mijn kennis PHP is zeer gebrekkig en vind het meestal nogal moeilijk om ergens een verschil in te zien, zoals die array.
Ik hoop verder dat ik uit deze fouten kan leren. :)
Wat je in je voorbeeld hierboven hebt aangegeven is inderdaad een prepared statement. Wat het voordeel hiervan is is dat de input, oftewel je $username en je $password, door de statement afgehandeld worden. Dat betekent dat er niet per ongeluk platte tekst of gekke tekens in je query komen te staan die gevaarlijke zaken kunnen uitvoeren op je database.
@Ward maakt het echt uit? Hoe dan ook moet de output van de query buffer nog geleegd worden
@Erwin lekker constructief, geef ook aan waarom dat dan niet zo is
Juist als je niet exact weet wat je wanneer moet controleren, helpt een prepared statement. De query wordt strikt gescheiden van de data die je er later insteekt: iets anders uitvoeren dan jouw query wordt onmogelijk.
Dus even praktisch: ja, herschrijf je MySQLi-code naar een prepared statement.
