Voorbeeld SQL-injectie string

Een voorbeeld voor wat? het ge/mis-bruiken van een lek? Of het beschermen ertegen?

Indien het laatste:
- Gebruik prepared statements op de juiste manier.
- Gebruik escaping met mysqli_real_escape_string of $conn->real_escape_string (MySQLi OO)

Er komt nog iets meer bij kijken, maar ik zou inderdaad beginnen met prepared statements:

• MySQLi: http://php.net/manual/en/mysqli.quickstart.prepared-statements.php

• PDO: http://php.net/manual/en/pdo.prepared-statements.php

@Ariën Ik wilde een voorbeeld om mijn eigen testje te testen
@ward dus eigenlijk voor elke variabele die ik in de SQL wil opnemen dit b.v. plaatsen in het script

$username = mysqli_real_escape_string($connect, $_POST['username']);

Een nadeel is dat deze geen melding geeft bij lege strings. Daarom had ik dit gebouwd

function checkPostVar($name) {
    if(isset($_POST[$name]))
        return trim( stripslashes( htmlspecialchars($name)));
    return false; // niet aanwezig
}

waarbij FALSE wordt geretourneerd als de variabele er niet is.

Nee.

De functie checkPostVar heeft een aantal side effects die in geen enkel geval wenselijk zijn. Niet gebruiken, in geen enkel geval.
Stripslashes is zinloos en vernielt je data alleen maar
htmlspecialchars is voor invoer in de database zinloos en opnieuw, vernielt je data alleen maar
mysqli_real_escape_string is nuttig, maar beter zou het gebruiken van prepared statements zijn. Dan heb je ook geen escaping meer nodig.

>> Een nadeel is dat deze geen melding geeft bij lege strings. Daarom had ik dit gebouwd

Oef dit zijn twee hele verschillende zaken. Het ene is beveiliging tegen injection en het andere is validatie. Ik zou dat echt gescheiden houden. Validatie op lege strings is namelijk ook niet altijd wenselijk.