Åh ja. Det er altid fantastisk, når man føler at man har styr på det.
Som Blue siger, så er pdo med prepared statements en god idé at få styr på fra start af. Det er simpelthen så hurtigt og let at lære, at det er decideret åndssvagt ikke at implementere det med det samme.
Min gamle datalogilærer brugte udelukkende mysql, og selvom det ikke var meget mere end et grundkursus, så kan det altså hurtigt blive farligt, hvis man lader brugerspeciferet indgå direkte i en query uden den mindste form for tjek. Især for nye udviklere, synes jeg det er vigtigt at hoppe direkte på prepared statements vognen, og få en forståelse for hvorfor man bruger lige præcis dette.
(27-03-2015, 01:13)MalcolmXI Skrev: [ -> ]Åh ja. Det er altid fantastisk, når man føler at man har styr på det.
Som Blue siger, så er pdo med prepared statements en god idé at få styr på fra start af. Det er simpelthen så hurtigt og let at lære, at det er decideret åndssvagt ikke at implementere det med det samme.
Min gamle datalogilærer brugte udelukkende mysql, og selvom det ikke var meget mere end et grundkursus, så kan det altså hurtigt blive farligt, hvis man lader brugerspeciferet indgå direkte i en query uden den mindste form for tjek. Især for nye udviklere, synes jeg det er vigtigt at hoppe direkte på prepared statements vognen, og få en forståelse for hvorfor man bruger lige præcis dette.
Jeg synes også at det er underligt at eksempler i starten ikke omfatter escaping. Det er så vigtigt, så det er den ekstra kompleksitet værd.
Jeg har lige skrevet en "lille" tråd om PDO for dem der er interesserede:
https://shellsec.pw/traad-kom-i-gang-med-pdo
har fra starten altid lavet et tjek, om det der kommer i GET er nummerisk, er det nummererisk, kan man jo ikke sql injecte :), så sætter man bare databasen op sådan, og evt bruger inner join for at koble sammen :) har aldrig rodet med det andet, men kunne være jeg skulle starte på det :)
(27-03-2015, 01:47)Zekcode Skrev: [ -> ]har fra starten altid lavet et tjek, om det der kommer i GET er nummerisk, er det nummererisk, kan man jo ikke sql injecte :), så sætter man bare databasen op sådan, og evt bruger inner join for at koble sammen :) har aldrig rodet med det andet, men kunne være jeg skulle starte på det :)
Det er dumt at antage når du programmerer. Du skal altid sanitere dit input.
okay, du kan ikke URL injecte, hvis det kun er nummere der er tilladte i GET, da nummet kun har en betydning, som er fastlåst af php koden, hvor den fx forsøger at hente et collum, hvor ID er = GET ID
Var det bedre formuleret :)?
(27-03-2015, 02:48)Zekcode Skrev: [ -> ]okay, du kan ikke URL injecte, hvis det kun er nummere der er tilladte i GET, da nummet kun har en betydning, som er fastlåst af php koden, hvor den fx forsøger at hente et collum, hvor ID er = GET ID
Var det bedre formuleret :)?
Jeg forstår udemærket godt din pointe, den fremgangsmåde er bare åben for fejl. Hvis du en dag laver det om, så det nu skal være en string, og du så glemmer at tilføje escaping, så er du på skideren. Det er set mange gange før og det er derfor jeg siger: Escape alting.
Tit, hvis du laver din egen filter funktion, kan man også komme til at lave en der er for nem at komme udenom. Man ser ofte folk der escaper mod XSS ved hjælp af en regex, men hvor man på en eller anden måde kan snyde den regex og lave et script tag alligevel. Det samme gælder for SQL.
Så det sgu da bare i gang med at lærer Laravel frameworket at kende! Jeg fik endelig lyst til at kode ignen, efter jeg lærte frameworket at kende.
Ps. Phpstorm er en FUCKING LÆKKER editor. Som i virkelig fucking lækker.
Hvis kunne vælge mellem at kneppe Anne Gadegaard og bruge phpstorm. Ville jeg nok kneppe Anne Gadegaard! Men ligeefter er phpstorm altså!
.. Og Vagrant er også rart. Især med homestead.
(27-03-2015, 12:57)DarkNigga Skrev: [ -> ]Så det sgu da bare i gang med at lærer Laravel frameworket at kende! Jeg fik endelig lyst til at kode ignen, efter jeg lærte frameworket at kende.
Ps. Phpstorm er en FUCKING LÆKKER editor. Som i virkelig fucking lækker.
Hvis kunne vælge mellem at kneppe Anne Gadegaard og bruge phpstorm. Ville jeg nok kneppe Anne Gadegaard! Men ligeefter er phpstorm altså!
.. Og Vagrant er også rart. Især med homestead.
Enig, dog har du lige den ene fejl, at det ikke er Anne Gadegaard, men Sarah Hyland, nøj hun er køn! :)
SL - Zekcode.
(27-03-2015, 14:36)Zekcode Skrev: [ -> ]Enig, dog har du lige den ene fejl, at det ikke er Anne Gadegaard, men Sarah Hyland, nøj hun er køn! :)
SL - Zekcode
Sarah Hyland
33 eneste grund til at jeg ser Modern Family trolol
Brugeren er blevet advaret for denne post