Teknik, hosting & e-handelsløsninger

Svar: Sql hjælp?

thorup.io — Mon, 24 Dec 2012 08:11:42 GMT

Hej Azzyh

Ja, enig i at det konkrete statement ikke er sårbart, men har også svært ved at forestille mig, at det skal bruges i sin rene form - det giver jo ingen mening.

Så bare at der (i eksemplet) bliver anvendt et statement uden parametre og så ringer mine alarmklokker.

Bare trådstarter er med på en evt risiko

Venlig hilsen
Ole

Svar: Sql hjælp?

Azddin — Mon, 24 Dec 2012 01:13:16 GMT

Hej Nomic,

Prøv at følge denne guide:

http://www.andersaaberg.dk/blog/2012/mysqlphp-character-encoding-errors-aeoa-import-connection-table-encoding-and-html-meta-header/

Svar: Sql hjælp?

Azddin — Mon, 24 Dec 2012 01:09:44 GMT

Hejsa Ole,

Også offtopic beklager men hvordan er det muligt at sql inject med denne query:

SELECT `produkt_id`, `produkt_navn`, `produkt_beskrivelse`, `produkt_pris`, `timestamp` FROM `varer` WHERE `produkt_navn` LIKE '%lø%' OR `produkt_beskrivelse` LIKE '%lø%' ORDER BY `timestamp` DESC

Viser jo intet om hvor input kommer fra; om det er pure $_POST/GET data eller om der er blevet sanitized først inden input data anvendes :-) Desuden lige den query skal der bare søges efter lø i alle tilfælde, og derfor ikke afhængig af nogen form for input.

Det anbefales at bruge prepared statements med parametre, det er jeg enig i!, men uanset hvad så modtager databasen ren query som den ovenover..

Ret mig gerne hvis jeg har fejl, det er min forståelse indenfor dette :-)

Glædelig jul

PS. En fin side om sql injection http://bobby-tables.com/php.html

Svar: Sql hjælp?

thorup.io — Sun, 23 Dec 2012 23:28:19 GMT

Helt basalt ved at bruge parametre eller måske stored procedures.

Lidt natlæsning her : http://en.wikipedia.org/wiki/SQL_injection

Men google "sql injection" for mere.

Svar: Sql hjælp?

Michael R. Gertz — Sun, 23 Dec 2012 23:24:47 GMT

Ole hvordan ville du skrive den hvis du ville undgå sql injections?

Svar: Sql hjælp?

thorup.io — Sun, 23 Dec 2012 23:17:23 GMT

Off topic, men det er et statement pivåbent for sql injection.

Håber det til sin tid skal laves på en anden måde, også rent performancemæssigt, hvis der er mange rækker i tabellen.

Svar: Sql hjælp?

Nomic — Sat, 22 Dec 2012 23:30:09 GMT

Virker stadig ikke og det bliver også formateret korrekt på serveren.

Svar: Sql hjælp?

Yan Knudtskov Nielsen — Sat, 22 Dec 2012 22:40:09 GMT

Evt. har du husket at sætte header?

header('Content-Type: text/html; charset=utf-8');

Svar: Sql hjælp?

Yan Knudtskov Nielsen — Sat, 22 Dec 2012 22:38:05 GMT

Hvis du laver et POST / GET kan det godt ske at det du sender ikke er utf8 encoded. Prøv evt. at lave en utf8_encode($var) på serveren og se om det hjælper.

Svar: Sql hjælp?

Nomic — Sat, 22 Dec 2012 22:21:27 GMT

Ja, det står også æøå

Svar: Sql hjælp?

Tom Frank Christensen — Sat, 22 Dec 2012 18:22:44 GMT

I mine øjne ser det ud som om du tester for alt og korrekt

Hvordan ser data ud i din db - hvis du ser det i phpmyadmin? Er det også stadig gemt som æ ø å

Svar: Sql hjælp?

Nomic — Sat, 22 Dec 2012 18:15:13 GMT

Desværre, heller ikke det :(

Svar: Sql hjælp?

Mads — Sat, 22 Dec 2012 15:06:02 GMT

Nomic:

Jeg bruger <meta charset='UFT-8'> og filen er gemt i UTF-8 og min mysql er uft8_danish_ci og mit mysql connect er

mysql_query("SET NAMES utf8");

mysql_query("SET character_set_results=’utf8′");

Det lyder som en fil der ikke er gemt i utf-8. Er både filen der viser formularen og den der modtager data og gemmer i DB gemt som utf-8?

Måske har du gemt data'et i databasen som htmlentities? Så f.eks. ø bliver gemt som ø

Sql hjælp?

Nomic — Sat, 22 Dec 2012 11:46:35 GMT

Jeg er igang med at udvikle et nyt projekt, men jeg er stødt på denne fejl.

Jeg sidder og leger lidt med en søgefunktion i php og mysql

Problemet er at:

Jeg har en form som sender noget data fra en input[type=text] til en funktion som udskriver data fra min mysql database.

Min sql lyder sådan:

SELECT `produkt_id`, `produkt_navn`, `produkt_beskrivelse`, `produkt_pris`, `timestamp` FROM `varer` WHERE `produkt_navn` LIKE '%lø%' OR `produkt_beskrivelse` LIKE '%lø%' ORDER BY `timestamp` DESC

'%lø%' = Det som man har søgt efter.

Problemet er at den ikke finder noget når jeg bruger æøå. Jeg bruger <meta charset='UFT-8'> og filen er gemt i UTF-8 og min mysql er uft8_danish_ci og mit mysql connect er

mysql_query("SET NAMES utf8");

mysql_query("SET character_set_results=’utf8′");

Kan I se problemet?

Håber at I kan hjælpe mig

Hilsen Christian