Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
[PHP] Easy?
27-03-2015, 01:13
#11
RE: [PHP] Easy?
Åh ja. Det er altid fantastisk, når man føler at man har styr på det.
Som Blue siger, så er pdo med prepared statements en god idé at få styr på fra start af. Det er simpelthen så hurtigt og let at lære, at det er decideret åndssvagt ikke at implementere det med det samme.

Min gamle datalogilærer brugte udelukkende mysql, og selvom det ikke var meget mere end et grundkursus, så kan det altså hurtigt blive farligt, hvis man lader brugerspeciferet indgå direkte i en query uden den mindste form for tjek. Især for nye udviklere, synes jeg det er vigtigt at hoppe direkte på prepared statements vognen, og få en forståelse for hvorfor man bruger lige præcis dette.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 01:47
#12
RE: [PHP] Easy?
(27-03-2015, 01:13)MalcolmXI Skrev: Åh ja. Det er altid fantastisk, når man føler at man har styr på det.
Som Blue siger, så er pdo med prepared statements en god idé at få styr på fra start af. Det er simpelthen så hurtigt og let at lære, at det er decideret åndssvagt ikke at implementere det med det samme.

Min gamle datalogilærer brugte udelukkende mysql, og selvom det ikke var meget mere end et grundkursus, så kan det altså hurtigt blive farligt, hvis man lader brugerspeciferet indgå direkte i en query uden den mindste form for tjek. Især for nye udviklere, synes jeg det er vigtigt at hoppe direkte på prepared statements vognen, og få en forståelse for hvorfor man bruger lige præcis dette.

Jeg synes også at det er underligt at eksempler i starten ikke omfatter escaping. Det er så vigtigt, så det er den ekstra kompleksitet værd.

Jeg har lige skrevet en "lille" tråd om PDO for dem der er interesserede: https://shellsec.pw/traad-kom-i-gang-med-pdo
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 01:47
#13
RE: [PHP] Easy?
har fra starten altid lavet et tjek, om det der kommer i GET er nummerisk, er det nummererisk, kan man jo ikke sql injecte :), så sætter man bare databasen op sådan, og evt bruger inner join for at koble sammen :) har aldrig rodet med det andet, men kunne være jeg skulle starte på det :)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 01:49
#14
RE: [PHP] Easy?
(27-03-2015, 01:47)Zekcode Skrev: har fra starten altid lavet et tjek, om det der kommer i GET er nummerisk, er det nummererisk, kan man jo ikke sql injecte :), så sætter man bare databasen op sådan, og evt bruger inner join for at koble sammen :) har aldrig rodet med det andet, men kunne være jeg skulle starte på det :)

Det er dumt at antage når du programmerer. Du skal altid sanitere dit input.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 02:48
#15
RE: [PHP] Easy?
okay, du kan ikke URL injecte, hvis det kun er nummere der er tilladte i GET, da nummet kun har en betydning, som er fastlåst af php koden, hvor den fx forsøger at hente et collum, hvor ID er = GET ID

Var det bedre formuleret :)?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 11:37
#16
RE: [PHP] Easy?
(27-03-2015, 02:48)Zekcode Skrev: okay, du kan ikke URL injecte, hvis det kun er nummere der er tilladte i GET, da nummet kun har en betydning, som er fastlåst af php koden, hvor den fx forsøger at hente et collum, hvor ID er = GET ID

Var det bedre formuleret :)?

Jeg forstår udemærket godt din pointe, den fremgangsmåde er bare åben for fejl. Hvis du en dag laver det om, så det nu skal være en string, og du så glemmer at tilføje escaping, så er du på skideren. Det er set mange gange før og det er derfor jeg siger: Escape alting.
Tit, hvis du laver din egen filter funktion, kan man også komme til at lave en der er for nem at komme udenom. Man ser ofte folk der escaper mod XSS ved hjælp af en regex, men hvor man på en eller anden måde kan snyde den regex og lave et script tag alligevel. Det samme gælder for SQL.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 12:57 (Denne besked var sidst ændret: 27-03-2015, 13:02 af DarkNigga.)
#17
RE: [PHP] Easy?
Så det sgu da bare i gang med at lærer Laravel frameworket at kende! Jeg fik endelig lyst til at kode ignen, efter jeg lærte frameworket at kende.

Ps. Phpstorm er en FUCKING LÆKKER editor. Som i virkelig fucking lækker.

Hvis kunne vælge mellem at kneppe Anne Gadegaard og bruge phpstorm. Ville jeg nok kneppe Anne Gadegaard! Men ligeefter er phpstorm altså!

.. Og Vagrant er også rart. Især med homestead.
Hemmeligt medlem af Team Rocket. Ash finder aldrig ud af hvem der stjal hans pikachu!
Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 14:36 (Denne besked var sidst ændret: 31-03-2015, 00:56 af Zekcode.)
#18
RE: [PHP] Easy?
(27-03-2015, 12:57)DarkNigga Skrev: Så det sgu da bare i gang med at lærer Laravel frameworket at kende! Jeg fik endelig lyst til at kode ignen, efter jeg lærte frameworket at kende.

Ps. Phpstorm er en FUCKING LÆKKER editor. Som i virkelig fucking lækker.

Hvis kunne vælge mellem at kneppe Anne Gadegaard og bruge phpstorm. Ville jeg nok kneppe Anne Gadegaard! Men ligeefter er phpstorm altså!

.. Og Vagrant er også rart. Især med homestead.
Enig, dog har du lige den ene fejl, at det ikke er Anne Gadegaard, men Sarah Hyland, nøj hun er køn! :)

SL - Zekcode.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
27-03-2015, 21:27
#19
RE: [PHP] Easy?
(27-03-2015, 14:36)Zekcode Skrev: Enig, dog har du lige den ene fejl, at det ikke er Anne Gadegaard, men Sarah Hyland, nøj hun er køn! :)

SL - Zekcode

Sarah HylandLove33 eneste grund til at jeg ser Modern Family trolol

Brugeren er blevet advaret for denne post
Hemmeligt medlem af Team Rocket. Ash finder aldrig ud af hvem der stjal hans pikachu!
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)