php error - weet niet wat en hoe

Door Marco Eilander op 29-09-2014 20:40 gewijzigd op 29-09-2014 20:53

3.673 views

Hallo,

ik heb de volgende php error, maar weet niet hoe ik het kan oplossen.


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'passwoord1'), (''' at line 1

Update ik weet inmiddels hoe het komt.

Mijn registratie pagina bugt, en krijg het niet in orde. Iemand had zich geregistreerd onder de naam : "Pietje Puk', 'passwoord1'), ('"

Helaas krijg ik het niet voor elkaar om ook gedeeltes te detecteren in gebruikersnamen.
Het is mij momenteel alleen gelukt om gebruikersnamen te detecteren die zich "(" of "?" noemen, maar niet "(&'karel?"

Als iemand mij daar bij kan helpen, zal erg fijn zijn.

Dit is wat ik momenteel gebruik:


//kijken of de gebruikersnaam is toegestaan
$badnames = array("bitch", "fuck", "cancer", ".net", ".nl", ".be", ".com", ".nu", ".tv", ".de", ".jp", ".ru", ".", "-", "_", "@", "?", "!","http","/","`","'",")","(","$","%","&");
if (in_array($gebruiker, $badnames)) {
$fm = 1;
$melding = 'This username is not allowed.';
}

if (preg_match('/'.$badnames.'/',$gebruiker)){
$fm = 1;
$melding = 'This username is not allowed.';
}

Ariën

29-09-2014 20:47 gewijzigd op 29-09-2014 20:53

Zou je a.u.b voortaan relevante code willen tonen, i.p.v. > 2600 regels aan die bijna niemand zal lezen?
Dat maakt je topic ook meteen een stuk overzichtelijker. Ik heb je code voor nu even ingeknipt.

Alvast bedankt!

Marco Eilander

29-09-2014 20:54

Hallo aar,
Ik zat momenteel net in "bewerk" mode. ;)

Obelix Idefix

29-09-2014 21:20

Marco Eilander op 29/09/2014 20:40:08

Mijn registratie pagina bugt, en krijg het niet in orde. Iemand had zich geregistreerd onder de naam : "Pietje Puk', 'passwoord1'), ('"

Hoezo bugt? Je hebt kennelijk je beveiliging bij het wegschrijven naar de database niet goed voor elkaar.

Marco Eilander

29-09-2014 21:49 gewijzigd op 29-09-2014 21:50

Obelix en Idefix op 29/09/2014 21:20:18

[quote="Marco Eilander op 29/09/2014 20:40:08"]
Mijn registratie pagina bugt, en krijg het niet in orde. Iemand had zich geregistreerd onder de naam : "Pietje Puk', 'passwoord1'), ('"

Hoezo bugt? Je hebt kennelijk je beveiliging bij het wegschrijven naar de database niet goed voor elkaar.

[/quote]

Ja klopt. Ik zat ook al te zoeken hoe ik het anders kan doen, maar kom enkel alleen maar uit om hele strings te controleren i.p.v. gedeeltes. Als jij een oplossing weet, zal ik het erg fijn vinden. :)

Obelix Idefix

29-09-2014 22:02

Laat je code eens zien (van je query).

Ivo P

29-09-2014 22:31

Je mist dus gewoon ergens mysqli_real_escape_string

Http://wiki.pfz.nl/sql-injectie

Marco Eilander

29-09-2014 23:15 gewijzigd op 29-09-2014 23:17

Obelix en Idefix op 29/09/2014 22:02:44

Laat je code eens zien (van je query).


<?php
if(isset($_POST['registeren'])){
//connectie naar de database
require_once('config/config.php');
//posts omzetten in variables + beveiligen
$gebruiker = mysql_real_escape_string($_POST['username']);
$ww = mysql_real_escape_string($_POST['pwd']);

//kijken of alle variables tekst vatten
if(empty($gebruiker)){
$fm = 1;
$melding = 'Please fill in your username';
}
if(empty($ww)){
$fm = 1;
$melding = 'Please fill in your password.';
}
//kijken of de gebruikersnaam is toegestaan
$badnames = array("bitch", "fuck", "cancer", ".net", ".nl", ".be", ".com", ".nu", ".tv", ".de", ".jp", ".ru", ".", "-", "_", "@", "?", "!", "(", ")","'", "&", "`");
if (in_array($gebruiker, $badnames)) {
$fm = 1;
$melding = 'This username is not allowed.';
}



//controleren of de gebruiker al bestaat
$check_gebruiker = mysql_query("SELECT * FROM players WHERE player_name = '".$gebruiker."'");
if(mysql_num_rows($check_gebruiker) >= 1){
$fm = 1;
$melding = 'Username is already in use.';
}

if(empty($fm)){
$datum = date('H:i d-m-Y');
mysql_query("INSERT INTO players(player_name,wachtwoord,join_date) VALUES('".$gebruiker."','".md5($ww)."','".$datum."')");
echo '<div class="goed">Your account is succesfully registered!</div>';
echo '<META HTTP-EQUIV=Refresh CONTENT="2; URL=http://www.unonu.net/rsrpg/">';
}else{
echo '<div class="fout">'.$melding.'</div>';
}

}
?>

Onbekende gebruiker

29-09-2014 23:20 gewijzigd op 29-09-2014 23:22

Je gebruikt geen backticks en met dubbele quotes hoef je geen punten te gebruiken


<?php
$query = "SELECT * FROM `players` WHERE `player_name`= '{$gebruiker}'";

?>

Ook zou je deze regel kunnen vervangen door


<?php
echo '<META HTTP-EQUIV=Refresh CONTENT="2; URL=http://www.unonu.net/rsrpg/">';

header('Location: http://www.unonu.net/rsrpg/');
?>

Ariën

29-09-2014 23:23

Persoonlijk vind ik backticks zwaar overbodig...

Ivo P

30-09-2014 14:29

het is geen php-error, maar een mysql-error.

daarnaast: http://wiki.pfz.nl/escapen

Er zijn verschillende soorten van escapen, maar gebruik die methode, die je nodig hebt en WAAR je hem nodig hebt.

Je moet de invoer escapen bij de query's.

Doe dat dan ook daar en niet even handig bovenaan je script.

a) je vergeet dat ooit in de toekomst een keertje
b) je kunt $gebruiker nu niet meer voor iets anders gebruiken, bijvoorbeeld weergeven op scherm
c) je kunt met $ww ook niets meer doen..

a) ok, jij niet natuurlijk, maar iemand anders zou het zo maar kunnen vergeten.
b) -
c) je doet ongemerkt kennelijk toch nog wat met je wachtwoord: md5($ww)
$ww is echter niet meer per se gelijk aan het ingevoerde ww. Bijvoorbeeld "foto's" is nu "foto\'s" geworden en de md5-hash daarvan is echt heel anders...

los daarvan:
$datum = date('H:i d-m-Y')

daar kun je echt in een database helemaal niets mee: sorteren werkt niet, filteren niet
statisieken als "hoeveel aanmeldingen op woensdagen?" gaan niet.

Gebruik een kolom van het type DATETIME en zet daar met NOW() de huidige tijd in
of desnoods met php: date('Y-m-d H:i')

Reageren

Inloggen om te reageren