php - Php & Sql sikkerhed - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php mysql sql

<< < 1 2 > >>

Bruger #16662 @ 16.12.11 18:45

Hej alle

Jeg vil gerne spørge jer hvordan jeg kan sikre min kode og sql database..
Hvad kan jeg gøre?

16 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 29 karma

Sorter efter stemmer Sorter efter dato

Bruger #7688 @ 16.12.11 19:13

Først og fremmest er der flere forskellige måder du kan sikre dine sager på, jeg vil dog vove den påstand at har du styr på følgende, kommer du langt:

* Validering
* Prepared Statements
* Hashed Passwords med salt i db
* Brug "communitiet"

Validering
Du bør kontrollere at al input du får fra brugeren er af den type du regner med. Det betyder at du tjekker om den email brugeren har tastet ind i login-formularen, vitterligt også er en valid email.

Hashed Passwords med salt i db
Når du har med bruger-login og registrering at gøre, så sørg for at gemme en hashed værdi af brugerens password i databasen, krypteret med et salt der også er gemt i databasen. Når brugeren logger ind køres login-passwordet igennem den samme kryptering og de to hash-værdier sammenlignes.

Prepared Statements
Det du mest skal bekymre dig om, når det gælder database sikkerhed, er sql injections. Der er flere forskellige måder at løse dette på, for eksempel kunne god validering være en løsning, en anden løsning kunne også være at benytte PDO. PDO står for PHP Data Objects, og er en måde at kommunikere med din database på (forsimplet forklaring). Det der gør PDO godt er at det er nemt at bruge prepared statements, og en af bonusserne ved prepared statements er at PDO automatisk sikrer dem mod sql injections.

Brug "communitiet"
Søg på sider som udvikleren.dk, eksperten.dk, stackoverflow.com, etc., når du er i tvivl om din kode er sikker, der vil helt sikkert være nogle der kan hjælpe og give råd. Måske det mest vigtige redskab i kampen for en sikker applikation.

EDIT: En anden stor sikkerhedstrussel er selvfølgelig udvikleren selv,kod derfor efter en standard og følg best practices.

Indlæg senest redigeret d. 16.12.2011 19:17 af Bruger #7688

Bruger #2695 @ 16.12.11 21:58

1.963

Lars har beskrevet mange gode pointer, men at prepared statements automatisk sikrer mod SQL injection er at tage munden lidt for fuld for det er kun KORREKT brug af prepared statements, som gør dette.
Man kan som udvikler stadig gøre noget forkert, som f.eks.:

Kode

$stmt = $pdo->prepare("SELECT * FROM users WHERE id=" . $id);

Nu er der så også andre ting end databasen, man skal være opmærksom på når det gælder sikkerhed. For mange til at man rigtig kan nævne dem her, men tag et kig på www.owasp.org, det vil være en rigtig god start.

Bruger #16025 @ 17.12.11 16:35

442

PHP kode

 $username = mysql_real_escape_string($_POST["username"]);
 
 $salt1 = "tilfaeldigtord";
 $salt2 = "andettilfaeldigtord";
 $crypt = $salt1 . $_POST["password"] . $salt2;
 $password = mysql_real_escape_string($crypt);

Bare som eksempel.

Bruger #16025 @ 17.12.11 22:28

442

Så skal du ud i noget Regular Expression.
Et eksempel kunne være:

PHP kode

 $var = "abcdefghijklmnopqrstuvwxyzæøå";
 
 if(preg_match("/[^a-zÆØÅ.]/i", $var)) {
     echo "match!";
 } else {
     echo "no match!";
 }

Eksemplet er ikke testet

Indlæg senest redigeret d. 17.12.2011 22:28 af Bruger #16025

Bruger #16662 @ 17.12.11 16:31

Hej igen

Kan i give et eksempel på hvordan man kan sikre sig imod sql injections?

Bruger #16662 @ 17.12.11 16:37

Jamen det vil sige at $salt1 & $salt2 er to ord der er i databasen også, eller hvad?

Bruger #7688 @ 17.12.11 17:43

Nej, det er ikke to ord der er i databasen, men to ord der er på vej i databasen.

Bruger #16662 @ 17.12.11 17:53

Altså når jeg poster noget så bruger jeg:

PHP kode

 mysql_real_escape_string(htmlspecialchars( $_POST['navn']))

Når jeg henter noget ud af mysql bruger jeg;

PHP kode

 $email = mysql_real_escape_string(htmlspecialchars($_POST['email']));
 $password = mysql_real_escape_string(htmlspecialchars($_POST['password']));
 $password = mysql_real_escape_string(htmlspecialchars(md5($password)));
 $login = sprintf("SELECT * FROM user WHERE email='%s' AND password='%s'", mysql_real_escape_string($email), mysql_real_escape_string($password));

Jeg har javascript validering som sikre sig for at der bliver skrevet i felterne og tjekker om det er email i email feltet.

Er det nogle gode metoder eller hvad?
Og er der mere jeg skal sikre mig imod?

Bruger #10216 @ 17.12.11 18:05

4.283

Du kan ikke sikre dig at du får de rigtige data kun ved brug af javascript validering. Javascript er en klient baseret, og kan slås fra.

Bruger #16662 @ 17.12.11 18:09

Jaah okaay.

Men hvordan kan jeg sikre mig mod tegn. Altså hvis det kun må være abcdefghijklmnopqrstuvwqyzæøå1234567890.,'!^/*-+? der kan skrives i feltet?

Og hvordan kan man sikre sig for at man ikke kan lave om i url'en, altså fx localhost/index.php?id=23 så man ikke skrive DROP TABLE id, eller sådan?

<< < 1 2 > >>

Php & Sql sikkerhed

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler