sql-injection

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Oracle APEX developer

Wat je gaat doen: Als Oracle APEX ontwikkelaar bij DPA werk je samen met collega’s aan de meest interessante opdrachten. Je zult je ervaring met SQL, PL/SQL, JavaScript, HTML en CSS inzetten om wensen van opdrachtgevers te vertalen naar technische oplossingen. Je werk is heel afwisselend, omdat DPA zich niet beperkt tot een specifieke branche. Zo ben je de ene keer bezig binnen de zorgsector, de andere keer is dit bij de overheid. Wat we vragen: Klinkt goed? Voor deze functie breng je het volgende mee: Je hebt een hbo- of universitaire opleiding afgerond Je hebt 2 tot 5 jaar

Bekijk vacature »

PHP Developer MySQL / Scrum / 2.800 - 4.100

Samengevat: Deze werkgever is een full-solutions digital agency. Ben jij geschikt als PHP Developer? Heb je ruime ervaring met NodeJS? Vaste baan: PHP Developer MySQL HBO 2.800 - 4.100 PHP Developer Deze werkgever is een middelgroot full-service bureau dat klanten uit diverse sectoren helpt diverse internetproducten op te bouwen. Bij deze werkgever kom je te werken in een enthousiast, betrokken team waarin jij je volop kunt ontwikkelen en doorgroeien. Zij werken voor grote klanten. Zij doen omvangrijke projecten die we bij ons op kantoor realiseren (geen detachering). Zij werken met state-of-the-art technologie en lopen daarin voorop. Wil jij de diepte

Bekijk vacature »

Frontend developer

Functie Als Frontend developer binnen deze organisatie heb je geen baas die zegt wat je moet doen, maar eigen verantwoordelijkheid. Samen met je collega’s bouw, onderhoud en optimaliseer je websites en applicaties voor meerdere bedrijfstakken. Je kijkt voortdurend naar verbeteringen in processen en bedenkt slimme en efficiënte oplossingen. Met als doel om uiteindelijk de eindgebruikers te helpen dankzij slimme selfservice platformen. Eisen • Een afgeronde hbo- of wo-opleiding, bij voorkeur richting ICT • Goede kennis en ervaring in o.a. HTML, CSS en JavaScript • Ervaring met SCSS • Ervaring met minimaal 1 front-end framework (VueJS is een grote pré) •

Bekijk vacature »

Trainee pega developer

Vind jij het leuk om echte business software te maken zonder daarvoor gedetailleerde code te hoeven schrijven? Voor ons hoofdkantoor in Waalwijk zoeken wij een trainee Pega developer voor 36-40 uur per week. Vind jij het leuk om echte business software te maken zonder daarvoor gedetailleerde code te hoeven schrijven? Wij leren je werken met het innovatieve platform van Pega en jij verovert de wereld in elke fase van de digitalisering van ons bedrijf. De Mandemakers Groep, een huis vol mogelijkheden. Je neemt deel aan een geweldig traject. We zijn bezig met de invoering van Customer Service, Sales Automation en

Bekijk vacature »

Senior Principal Low-Code Developer - DUTCH

Senior Principal Low-Code Developer – DUTCH IN HET KORT Als Senior Principal Low-code Developer combineer je de rol van IT-consultant met die van applicatie-ontwikkelaar. Je gebruikt je technische expertise, platformkennis en ontwikkelervaring in een multidisciplinair project of DevOps-team voor het implementeren en beheren van hoogwaardige IT-oplossingen Minimaal 8 jaar werkervaring als low-code specialist / applicatieontwikkelaar. Nice to have: Mendix – Microsoft Power Apps – DevOps – Scrum – Agile Project Management – Integration Architecture – HBO of Master Jaarlijks € 75.168 – € 104.976 + bonus + leaseregeling + pensioen + veel meer extra’s Hoofdkantoor in Utrecht / 1.400 medewerkers

Bekijk vacature »

Mobile Developer iOS / Git / 2.900 - 4.300

Samengevat: Wij maken innovatieve, complexe software. Ben jij geschikt als Mobile Developer? Heb je ervaring met Java? Vaste baan: Mobile Developer iOS HBO 2.900 - 4.300 Mobile Developer Wij ontwikkelen en biedtendiensten aan op het gebied van IT- en multimediaoplossingen. Deze werkgever is een veelzijdige organisatie. Je werkt voor de eigen IT organisatie. Zij werken met moderne technologie en staan open voor innovatie. Functie: Voor de vacature als Mobile Developer Hilversum HBO ga je het volgende doen: , In deze functie ga je aan de slag met diverse Mobile apps en voor zowel iOS als Android Het zijn telkens maatwerkprojecten

Bekijk vacature »

Full Stack Java Developer

Functieomschrijving Als Senior Java Full Stack Developer binnen ons Client domein maak je directe impact op de dienstverlening van heel Randstad Groep Nederland. Je bent onderdeel van onze interne IT afdeling. Ondanks de domein naam dus geen eindeloze klantopdrachten, maar juist focus op de technische innovatie van onze eigen processen en dienstverlening. Om dit continu te kunnen optimaliseren zitten we middenin een grote transformatie en zijn daarom op zoek naar een tweetal vaste senior developers die ruimte en vrijheid zoeken om hun kennis en ervaring in te zetten. Wat bieden wij? Het nodige vertrouwen en de autonomie om je werk

Bekijk vacature »

Full Stack Developer Wordpress bij Jacht.digital M

Jij bent een ware WordPress-fan. Een techneut die het systeem tot in detail kent. Jij krijgt energie van bouwen en verbeteren met behulp van dit CMS. Jouw skills kun je met deze vacature Full Stack Developer in Alkmaar inzetten voor klanten in binnen- en buitenland. Kom werken bij jacht.digital Marketing en word onderdeel van dit kleine, maar érg fijne bedrijf. De vacature Full Stack Developer Wordpress bij jacht.digital Marketing in Alkmaar daagt je uit om: De ontwikkelstack van jacht.digital Marketing mee te laten groeien met de klantvragen. Digitale marketing draait om goede websites. De klanten van jacht.digital Marketing hebben steeds

Bekijk vacature »

Lead Webdeveloper

Als Lead webdeveloper bij KUBUS ben je verantwoordelijk voor het implementatie design van requirements en de software architectuur van de webapplicatie en services van BIMcollab. In je rol als lead developer zoek je als vanzelf op een creatieve manier naar het optimum tussen benodigde implementatie-tijd, de performance van de applicatie en een snelle go-to-market van features, aansluitend bij onze geautomatiseerde test- en release train. Hierbij bewaak je in samenwerking met de andere senior ontwikkelaars in je team de architectuur van de applicatie en adviseer je de product owner over noodzakelijke refactoring om de onderhoudbaarheid van het platform te verbeteren. Ons

Bekijk vacature »

Senior developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Senior Principal BPM Developer - DUTCH

Senior Principal BPM Developer – DUTCH IN HET KORT Als Senior Principal BPM Developer combineer je de rol van IT consultant met BPM architect. Je gebruikt je technische expertise, platformkennis en ontwikkelervaring om een DevOps-team te leiden en hoogwaardige BPM-oplossingen te implementeren. 8+ jaar werkervaring als Business Process Management (BPM). Nice to have: Pegasystems PRPC – Appian Technologies – Mendix – Scrum – Agile Project Management – DevOps – Integration Architecture – OutSystems – TIBCO BPM – HBO of Master Jaarlijks € 75.168 – € 104.976 + bonus + leaseregeling + pensioen + veel meer extra’s Hoofdkantoor in Utrecht /

Bekijk vacature »

Medior Java developer (backend)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Senior Principal Low-Code Developer - DUTCH

Senior Principal Low-Code Developer – DUTCH IN HET KORT Als Senior Principal Low-code Developer combineer je de rol van IT-consultant met die van applicatie-ontwikkelaar. Je gebruikt je technische expertise, platformkennis en ontwikkelervaring in een multidisciplinair project of DevOps-team voor het implementeren en beheren van hoogwaardige IT-oplossingen Minimaal 8 jaar werkervaring als low-code specialist / applicatieontwikkelaar. Nice to have: Mendix – Microsoft Power Apps – DevOps – Scrum – Agile Project Management – Integration Architecture – HBO of Master Jaarlijks € 75.168 – € 104.976 + bonus + leaseregeling + pensioen + veel meer extra’s Hoofdkantoor in Utrecht / 1.400 medewerkers

Bekijk vacature »

Lead C++ Developer

The role of Lead C++ Developer As Lead C++ Developer at KUBUS you will be responsible for the implementation design of requirements and the software architecture of the desktop applications of BIMcollab, our platform for 3D model validation and issue management aimed at improving the quality of 3D building design models. Better 3D models lead to better buildings, thus contributing to the sustainability of the built environment with smarter use of materials, less waste and energy-efficient buildings. A good user experience is of paramount importance to us; we go for innovation and quality in our development. In your role as

Bekijk vacature »

Software Ontwikkelaar Machinebouw

Wil jij een grote impact leveren in de efficiency van complexe machines? Lees dan snel deze vacature van software ontwikkelaar. Onze opdrachtgever levert systemen en lijnen aan de professionele vleesverwerkende industrie voor het op diervriendelijke wijze ontvangen van dieren en het efficiënt verwerken, transporteren, versnijden en inpakken van vlees-en bijproducten. Dierenwelzijn is bij hen één van de belangrijkste aspecten. Daarom dagen zij zich continu uit om voor de klanten de beste oplossing op dit gebied te bedenken, ontwerpen en bouwen. Met trots kunnen ze zeggen dat ze hierin een vooruitstrevende positie in de markt innemen. Dit doen ze erg goed

Bekijk vacature »
Thomas Michels

Thomas Michels

06/01/2011 11:02:40
Quote Anchor link
Hallo,

Ik heb een website gemaakt die werkt met een mysql database,ik probeer die nu te beveiligen tegen sql injection.
Ik zal gebruik maken van strip_tags().
Ik probeer nu bij wijze van test zelf php-code in te brengen in mijn database via een onbeveiligd formulier;
Mijn code:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<html>
<form method="POST" action="besdel.php">
geef de naam in die u wenst te wijzigen <input type="text" name="naam">
<input type="submit" name="submit" value="verzenden">
</form>
<?php

include("config.php");

$naam=$_POST['naam'];

mysql_query("DELETE FROM wachtwoord WHERE naam ='$naam'");

?>

</html>


Maar wanneer ik in het formulier invul (zonder dubbele quotes) “karel'OR'1'='1” is er toch niets uit mijn tabel verwijderd.
Wat doe ik verkeerd?
Alvast bedankt.
 
PHP hulp

PHP hulp

28/09/2022 14:14:53
 
- Mark -

- Mark -

06/01/2011 11:10:52
Quote Anchor link
Beveiligen tegen sql injection doen we niet met strip_tags() maar met mysql_real_escape_string()

Bouw eens een goede fout afhandeling in. Je kunt nu toch niet zien wat er fout gaat of wel?
Gewijzigd op 06/01/2011 11:19:18 door - Mark -
 
Gerhard l

gerhard l

06/01/2011 12:16:04
Quote Anchor link
hij zou dan een error krijgen over zn query daar schiet ie ook niks mee op.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
mysql_query("DELETE FROM wachtwoord WHERE naam ='".mysql_real_escape_string($_POST['naam'])."'");
?>
Gewijzigd op 06/01/2011 12:17:25 door gerhard l
 
Scrippy do

scrippy do

06/01/2011 13:46:41
Quote Anchor link
Ben hier toevallig ook mee bezig.

Vraag:
Is het voldoende beveiligd als ik real escape string toepas zoals voorbeeld van G.L.?
 
Pim -

Pim -

06/01/2011 13:48:04
Quote Anchor link
Wel voor toepassing in de database, niet voor weergave in html.
 
Dindong Veter

Dindong Veter

06/01/2011 13:49:16
Quote Anchor link
Scrippy do op 06/01/2011 13:46:41:
Ben hier toevallig ook mee bezig.

Vraag:
Is het voldoende beveiligd als ik real escape string toepas zoals voorbeeld van G.L.?




ligt eraan.

ook zou ik htmlentities gebruiken.

maar voor de database is real_escape_string genoeg
Gewijzigd op 06/01/2011 13:49:50 door Dindong Veter
 
Wouter J

Wouter J

06/01/2011 14:55:05
Quote Anchor link
Paul L op 06/01/2011 13:49:16:
ook zou ik htmlentities gebruiken.

HTMLentities is toch voor het eruit halen van data?
 
Niels K

Niels K

06/01/2011 14:57:35
Quote Anchor link
@Paul

Als het goed is pakt html(entities, specialchars) standaard ISO-8859-1. Ik gebruik altijd het volgende.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
htmlspecialchars( $string, ENT_QUOTES, 'UTF-8' );
?>


Of

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
htmlentities( $string, 'ENT_COMPAT', 'UTF-8' );
?>


@Wouter

Volgens mij bedoel jij strip_tags ?
Gewijzigd op 06/01/2011 14:59:20 door Niels K
 
Kris Peeters

Kris Peeters

07/01/2011 09:49:38
Quote Anchor link
INSERT -> mysql_real_escape_string() gebruiken.
Dit beschermt je tegen sql injection.

Hou verder de gegevens zo puur mogelijk.
Post data (gegevens, gestuurd door de gebruiker) eerst door htmlentities() of strip_tags() (of wat dan ook) en dan inserten, is niet de bedoeling.

SELECT -> strip_tags() / eventueel iets als htmlentities()
Wat kan nog fout lopen?
De gebruiker kan actieve html gepost hebben.
Stel: de gebruiker post '</div></div></div></div></table></table></table></table>'
De kans is vrij groot dat de volledige lay out van je site naar de ****** is.
En dit is nog maar één van de meer onschuldige problemen. Het kan erger.

Twee mogelijkheden:
- strip_tags(): Dit verwijdert alle html elementen. Alles wat binnen html tags staat, komt dan als gewone tekst. De tags op zich worden gewoon niet getoond.
- htmlentities() of htmlspecialchars(): Dit vormt html tags om in tekst die er uit ziet als de tekst, maar die absoluut geen werking hebben.

Hier kan je een voorbeeld zien van de tweede oplossing.
<a href="mijnlink.com">Link die niet werkt</a>

Bij elk VARCHAR / TEXT veld moet je de gegevens dus door één van die functies sturen; dus ook velden zoals titel, nicknaam, signature, ... .
Een INT / DATE / ... veld is al sowieso beschermd; daar hoeft dit niet.
Gewijzigd op 07/01/2011 10:01:38 door Kris Peeters
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.