PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
j

GET id in url beveiligen

Door johan de wit op 16-05-2015 03:41
9.742 views
Ik heb een pagina aangemaakt dat gebruikers gegevens kunnen bewerken maar er viel mij iets op dat je vanaf urlbalk andere regels (en ook ids wat nog niet bestaat) van tabellen kunt bewerken terwijl dat de bedoeling niet is of je voert zomaar bijvoorbeeld letters er achter id= dan zie je nog steeds geen foutmelding.

Hoe zorg ik er voor dat je geen id uit je hoofd kan invoeren en overbodige letters met andere leestekens blokkeren?

Dit helpt bij mij niet:
bindParam(1,is_numeric($_GET['id']))

en dit:
is_numeric(bindParam(1,$_GET['id']))


Beetje opgeschoond om het kleiner te krijgen:
<?PHP
session_start();
if (!(isset($_SESSION['user_login_status']) && $_SESSION['user_login_status'] != '')) {
header ("Location: index.php");
	}
		else 	{
		try {
$dbc = new PDO('mysql:host=localhost; dbname=', '', '');
	} catch (PDOException $e) {
	echo "Error: " . $e->getMessage();
	}
if(isset($_POST['submit_btn'])) {
	$query = "UPDATE tabel SET name=? WHERE id=?";
	$stmt = $dbc->prepare($query);
	$stmt->bindParam(1, $_POST['name']);
	$stmt->bindParam(2, $_POST['uid']);
	if($stmt->execute()) {
		echo "<script>alert('Record updated.');location.href='index.php'</script>";
	} else {
		die('Unable to update record.');
	}
} else {
try {
$query = "SELECT * FROM tabel WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(1,$_GET['id']);
$stmt->execute();
$row=$stmt->fetch(PDO::FETCH_ASSOC);
$username = $row['user_name'];
$id = $row['id'];
	} catch(PDOException $e) {
	echo "Error: " . $e->getMessage();
	}
?>

<form id=".$row["id"]." action="" method="POST">
<input type="hidden" value="<?php echo $id; ?>" name="uid">
  <div class="container">

<div class="panel-heading">
<h3 class="panel-title">Gegevens</h3>
</div>
  <div class="panel-body">
    	<div class="row">
			<div class="col-md-6">
					<table class="table">		
					<tbody>

				<tr>
					<td>Naam</td>
					<td><input class="form-control" type="text" id="formGroupInputSmall" placeholder="Naam"name="username" value="<?php echo $username; ?>"/></td>
				</tr>
					</tbody>
					</table>
					<input class="btn btn-default"  type="submit" name="submit_btn" value="Bevestigen"/>
</form>
			</div>
		</div>
	</div>
  </div>
</body>
<?php
}?>
</html>
<?php
}
?>
Ariën
16-05-2015 08:26
<?php
if(is_numeric($_GET['id'])) {
// her is een ID, voer de rest van het script + de query uit.
} else {
// het script bevat geen ID, try again....
}
?>

Dit moet gewoon werken.

Verder nog een paar tips:
- Gebruik geen alerts's, maar laat gewoon met een echo zien dat het record is geupdated
- Gebruik geen die(), je script moet niet doodgaan als de query niet werkt.
- Op lijn 36 vergeet je PHP te starten voor die variabele
Frank Nietbelangrijk
16-05-2015 11:27
Kleine aanvulling op Aar:

Zo sluit je tevens een negatief id of een id=0 uit:
<?php
if(intval($_GET['id']) > 0) {
// her is een ID, voer de rest van het script + de query uit.
} else {
// het script bevat geen GELDIG ID, try again....
}
?>
Eddy E
16-05-2015 11:49
Dat is een hele mooie Frank!
Ik gebruik die ook in mijn is_int()-functie. Er zijn genoeg aan is_array(), is_numeric() etc, maar is_int() miste:

<?php

function is_int($string)
{
if(intval($string) > 0)
{
return true;
}
return false;
}
?>
j
johan de wit
16-05-2015 13:33 gewijzigd op 16-05-2015 13:35
- Aar - op 16/05/2015 08:26:33

<?php
if(is_numeric($_GET['id'])) {
// her is een ID, voer de rest van het script + de query uit.
} else {
// het script bevat geen ID, try again....
}
?>

Dit moet gewoon werken.

Verder nog een paar tips:
- Gebruik geen alerts's, maar laat gewoon met een echo zien dat het record is geupdated
- Gebruik geen die(), je script moet niet doodgaan als de query niet werkt.
- Op lijn 36 vergeet je PHP te starten voor die variabele


Vanaf welke regel moet ik je script plaatsen?

Dank je wel:
- Alerts is vervangen door echo.
- Die() is vervangen door echo.
- Regel 36 heb ik PHP toegevoegd.

 <?PHP
session_start();
if (!(isset($_SESSION['user_login_status']) && $_SESSION['user_login_status'] != '')) {
header ("Location: index.php");
    }
        else     {
        try {
$dbc = new PDO('mysql:host=localhost; dbname=', '', '');
    } catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
    }
if(isset($_POST['submit_btn'])) {
    $query = "UPDATE tabel SET name=? WHERE id=?";
    $stmt = $dbc->prepare($query);
    $stmt->bindParam(1, $_POST['name']);
    $stmt->bindParam(2, $_POST['uid']);
    if($stmt->execute()) {
        echo "Geupdated";
    } else {
        echo "Probeer nogmaals";
    }
} else {
try {
$query = "SELECT * FROM tabel WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(1,$_GET['id']);
$stmt->execute();
$row=$stmt->fetch(PDO::FETCH_ASSOC);
$username = $row['user_name'];
$id = $row['id'];
    } catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
    }
?>

<form id="<?php $row["id"] ?>" action="" method="POST">
<input type="hidden" value="<?php echo $id; ?>" name="uid">
  <div class="container">

<div class="panel-heading">
<h3 class="panel-title">Gegevens</h3>
</div>
  <div class="panel-body">
        <div class="row">
            <div class="col-md-6">
                    <table class="table">        
                    <tbody>

                <tr>
                    <td>Naam</td>
                    <td><input class="form-control" type="text" id="formGroupInputSmall" placeholder="Naam"name="username" value="<?php echo $username; ?>"/></td>
                </tr>
                    </tbody>
                    </table>
                    <input class="btn btn-default"  type="submit" name="submit_btn" value="Bevestigen"/>
</form>
            </div>
        </div>
    </div>
  </div>
</body>
<?php
}?>
</html>
<?php
}
?>


[size=xsmall]Toevoeging op 16/05/2015 13:37:22:[/size]

Frank Nietbelangrijk op 16/05/2015 11:27:30

Kleine aanvulling op Aar:

Zo sluit je tevens een negatief id of een id=0 uit:
<?php
if(intval($_GET['id']) > 0) {
// her is een ID, voer de rest van het script + de query uit.
} else {
// het script bevat geen GELDIG ID, try again....
}
?>


Welke regel(s) moet ik vervangen door je aangepaste script?
- SanThe -
16-05-2015 13:46
Regel 36 $row["id"] => echo $row["id"];
j
johan de wit
16-05-2015 14:12
- SanThe - op 16/05/2015 13:46:13

Regel 36 $row["id"] => echo $row["id"];


Dank je wel, ik heb het meteen aangepast.
Frank Nietbelangrijk
16-05-2015 14:32 gewijzigd op 16-05-2015 14:33
Op regel 26 injecteer je $_GET['id'] in één keer in je query terwijl je nog helemaal niet weet of:
- $_GET['id'] wel bestaat
- $_GET['id'] wel een juiste waarde heeft. (numeriek en groter dan nul)

Dat kan dus beter:
<?php

if(isset($_GET['id']) && intval($_GET['id']) > 0)
{
// je query
try {
$query = "SELECT * FROM tabel WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(1, intval($_GET['id'])); // met intval aub
$stmt->execute();
$row=$stmt->fetch(PDO::FETCH_ASSOC);
$username = $row['user_name'];
$id = $row['id'];
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
} else {
// een nette foutmelding
echo "Geen of ongeldig ID opgegeven.";
exit;
}
?>
j
johan de wit
16-05-2015 16:04 gewijzigd op 16-05-2015 16:08
Frank Nietbelangrijk op 16/05/2015 14:32:23

Op regel 26 injecteer je $_GET['id'] in één keer in je query terwijl je nog helemaal niet weet of:
- $_GET['id'] wel bestaat
- $_GET['id'] wel een juiste waarde heeft. (numeriek en groter dan nul)

Dat kan dus beter:
<?php

if(isset($_GET['id']) && intval($_GET['id']) > 0)
{
// je query
try {
$query = "SELECT * FROM tabel WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(1, intval($_GET['id'])); // met intval aub
$stmt->execute();
$row=$stmt->fetch(PDO::FETCH_ASSOC);
$username = $row['user_name'];
$id = $row['id'];
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
} else {
// een nette foutmelding
echo "Geen of ongeldig ID opgegeven.";
exit;
}
?>


Aangepast: bij regel 9 krijg ik de volgende foutmelding.
$stmt->bindParam(1, intval($_GET['id'])); // met intval aub

Strict Standards: Only variables should be passed by reference in


Ik krijg dit keer netjes foutmelding zodra ik 0 achter id= en als ID niet bestaat dan krijg ik geen melding, onbevoegde kunnen wel bij anderemanse ID komen, welke oplossingen kan ik hiervoor gebruiken? Ik dacht aan iets als base64_encode() maar dat kan je makkelijk omzetten met base64_decoder().

Reageren

Inloggen om te reageren