Cafe og hygge

Svar: Hjælp til PHP UPDATE statement

Mark J. — Wed, 07 May 2014 14:01:28 GMT

Du bør helt klart kigge på preg (regular expressions) - det er korrekt det ofte bruges til validering af data (som man også bør bruge både for ens egen og brugerens skyld). Men i det "øjeblik" du indsætter tingene i en database er det korrekte at "escape" det (kort og godt gør man tegn der har en funktionel betydning i query'et, f.eks. " og ', til egentlig tekst og dermed "uskadelige").

Der to grunde til du nok ikke bør bruge preg_replace til at sætte ting i en database: Det er for det første langt mere vanskeligt at få tilrettet og/eller fjernet de potentielt skadelige tegn end at benytte en escape-funktion, og for det andet er regular expressions mere performance-intensive end alm. tekst-funktioner.

Så længe du bruger "old school" MySQL bør du gøre dette. Når du går over til prepared statements i PDO gør den det for dig* :-) Før i tiden havde man magic_quotes der gjorde det automatisk, men det forcerede nærmest dårlig kodepraksis og blev derfor fjernet for en del år tilbage.

*) Rent praktisk er query og data fuldkommen adskilt, så det er som sådan ikke fordi det er escaped. Data kan bare ikke påvirke query'et.

Helt enig :) Man bør altid lytte til de klogere, men serveringen er ofte ret kold.

Et par fede sites: Stackoverflow og Sitepoint. I min bog (næsten) uundværlige websites når man udvikler. Folk på SO er yderst passioneret og hjælpsomme og du kan finde svar på næsten alt.

Svar: Hjælp til PHP UPDATE statement

n4s-linux — Wed, 07 May 2014 13:49:49 GMT

1. jeg er ikke sikker på at 3 er et gyldigt kolonnenavn

2. Tekststrenge "dsfsdfsf" skal pakkes ind så mysql kan forstå at det er en tekststreng.

3. Når du bruger det gamle mysql (som IKKE anbefales til nyudvikling længere), så kan du tjekke returværdien på mysql_query for at få din fejlmeddelelse, f.eks. mysql_query("update Lamers set lameness="HIGH" where name='Very big lamer'") or die(mysql_error());

Du kan nemt debugge queries ved at vise dem på din side og copypaste dem ind i en mysql klient.

f.eks. via 'echo "$q\n' - og så se om den query er gyldig efter du har gjort dine ting med din tekststreng.

Svar: Hjælp til PHP UPDATE statement

Glen — Wed, 07 May 2014 13:43:25 GMT

Mark Jensen:

Hej Glenn,

Fedt at du prøver at lære at programmere - kritikken kan ofte lyde hård fra andre programmører, men man mener som regel det bedste ;-)

Jeg synes dit næste skridt som udvikler må være at kigge på biblioteker som PDO eller MySQLi. Jeg bruger personligt PDO, men du kan læse pros/cons her:

http://stackoverflow.com/questions/13569/mysqli-or-pdo-what-are-the-pros-and-cons

Der er mange fordele, foruden sikkerheden. Dit nuværende script er som mange nævner åbent for det der hedder 1. grads-injektion (1st order injection). Det er ikke umiddelbart åbenlyst for nye udviklere hvad skaden er, men problemet er, at en bruger ikke altid indtaster det data du forventer og som du sætter direkte ind i dit query. Hackere (nu bruger vi ordet bare for en god ordens skyld, selvom man dårligt skal være script kiddie for at udføre 1st order injections) kan sende data som ændrer dit query til f.eks. at spytte alverdens uønskede ting ud som du helst så ingen andre end du og brugeren selv vidste; Eller slette en hel masse data.

Hvis du insisterer på at gøre dit projekt færdigt med det nuværende MySQL-bibliotek skal du som minimum "escape" de data du sætter i query'et. F.eks.

mysql_query(sprintf('UPDATE t1 SET c1 = "%s" WHERE id = "%d"', mysql_real_escape_string($C1), mysql_real_escape_string($Id)));

Dette er stadig ikke en fuldkommen sikker løsning, men den klarer det meste.

PDO er afsikret for denne slags injections (så længe man bruger "prepared statements". Den rene "query" metode er ikke sikret!). Jeg vil dog bemærke at PDO er åbent for 2. grads-injektioner - det er dog i meget ekstreme tilfælde (kræver brug af særlig encoding og concatenation i queries)

Bemærk at "old school" MySQL-bibliotek du bruger er deprecated (fjernet) i PHP 5.6+.

Hej Mark

Tak for hjælpen, ja ville ville faktisk bruge en salgs preg_replace(tror jeg den hedder), men skal lige undesøge det du snakker om med ESCAPE.

Ja, jeg synes det er FEDT at lære, og har lært det utrolig nemt og hurtigt. På 1 år er jeg gået fra HTML og CSS til dette. Bruger meget youtube videotutorials og VTC.com videoer.

Når jeg er færdig med det nuværrende projekt, så er jeg igang med at lave en BootStrap version til www.Medieland.dk. Fremoverover når jeg er blevet solid i PHP, MYSQL, CSS, skal jeg igang med ASP.NET eller Javascript...... Jeg synes det er SKIDE SJOVT ;-) (RIMELIGT NØRDET)

Men ja, folk kan lyde hårde omkring min databse og kodning, men det må de selv om. Jeg er ligeglad, alt har jo en start :-)

Tak for din info

@MIKJÆR

Tak for linket omkring database

Svar: Hjælp til PHP UPDATE statement

Mark J. — Wed, 07 May 2014 08:43:33 GMT

Hej Glenn,

Fedt at du prøver at lære at programmere - kritikken kan ofte lyde hård fra andre programmører, men man mener som regel det bedste ;-)

Jeg synes dit næste skridt som udvikler må være at kigge på biblioteker som PDO eller MySQLi. Jeg bruger personligt PDO, men du kan læse pros/cons her:

http://stackoverflow.com/questions/13569/mysqli-or-pdo-what-are-the-pros-and-cons

Der er mange fordele, foruden sikkerheden. Dit nuværende script er som mange nævner åbent for det der hedder 1. grads-injektion (1st order injection). Det er ikke umiddelbart åbenlyst for nye udviklere hvad skaden er, men problemet er, at en bruger ikke altid indtaster det data du forventer og som du sætter direkte ind i dit query. Hackere (nu bruger vi ordet bare for en god ordens skyld, selvom man dårligt skal være script kiddie for at udføre 1st order injections) kan sende data som ændrer dit query til f.eks. at spytte alverdens uønskede ting ud som du helst så ingen andre end du og brugeren selv vidste; Eller slette en hel masse data.

Hvis du insisterer på at gøre dit projekt færdigt med det nuværende MySQL-bibliotek skal du som minimum "escape" de data du sætter i query'et. F.eks.

mysql_query(sprintf('UPDATE t1 SET c1 = "%s" WHERE id = "%d"', mysql_real_escape_string($C1), mysql_real_escape_string($Id)));

Dette er stadig ikke en fuldkommen sikker løsning, men den klarer det meste.

PDO er afsikret for denne slags injections (så længe man bruger "prepared statements". Den rene "query" metode er ikke sikret!). Jeg vil dog bemærke at PDO er åbent for 2. grads-injektioner - det er dog i meget ekstreme tilfælde (kræver brug af særlig encoding og concatenation i queries)

Bemærk at "old school" MySQL-bibliotek du bruger er deprecated (fjernet) i PHP 5.6+.

Svar: Hjælp til PHP UPDATE statement

Mikkel Mikjær Christensen — Tue, 06 May 2014 15:29:52 GMT

Glen:
forstår dog stadig ikke Mikkel Mikjær´s udtalelse om at min database vender på hovedet

http://sv.wikipedia.org/wiki/Normalform_(databaser)

Svar: Hjælp til PHP UPDATE statement

Glen — Tue, 06 May 2014 07:57:58 GMT

Carsten Kvist:

Glen:
$query = mysql_query("UPDATE tabeltest SET 'col' = hej WHERE id =1"); tabellens navn er korrekt og kolummen også: http://billedeupload.dk/?v=z6p57.jpg

Sikkert, men når du indsætter en streng, skal den streng du indsætter være i " " .... Hvordan skal DataBasen vide, at det ikke er 'hej WHERE id =1' - Du vil have indsat i feltet COL ???

Så: mysql_query("UPDATE tabeltest SET col = 'hej' WHERE id =1"); Giver nok mere mening.

Det kan jeg godt se :-) God pointe!

Jeg kan oplyse, at jeg har fået det til at fungere.

Den mysql som fungerer er: mysql_query("UPDATE kalender_bestillinger_billeder SET b3 = 'win' WHERE id ='47'");

Yderligere gav det fejl fordi jeg brugte tal i min database kolonne (præcist som Mikkel Mikjær Christensen) sagde.
Tak for hjælpen til jer alle, nu vil jeg gøre mdet færdigt, og bruge de næste to uger på at sætte det korrekt op, med bla. mysqli...
PS. forstår dog stadig ikke Mikkel Mikjær´s udtalelse om at min database vender på hovedet...

Svar: Hjælp til PHP UPDATE statement

Carsten Kvist — Tue, 06 May 2014 06:10:30 GMT

Glen:
$query = mysql_query("UPDATE tabeltest SET 'col' = hej WHERE id =1"); tabellens navn er korrekt og kolummen også: http://billedeupload.dk/?v=z6p57.jpg

Sikkert, men når du indsætter en streng, skal den streng du indsætter være i " " .... Hvordan skal DataBasen vide, at det ikke er 'hej WHERE id =1' - Du vil have indsat i feltet COL ???

Så: mysql_query("UPDATE tabeltest SET col = 'hej' WHERE id =1"); Giver nok mere mening.

Svar: Hjælp til PHP UPDATE statement

Glen — Tue, 06 May 2014 05:27:14 GMT

$query = mysql_query("UPDATE tabeltest SET 'col' = hej WHERE id =1"); tabellens navn er korrekt og kolummen også: http://billedeupload.dk/?v=z6p57.jpg

Svar: Hjælp til PHP UPDATE statement

Glen — Tue, 06 May 2014 05:23:24 GMT

Jesper | Clickmedia:

Godmorgen Glen,

Du har jo fået svaret?

$query = mysql_query("UPDATE kalender_bestillinger_billeder SET 3 = dsfsdfsf WHERE id =1");

skal være

$query = mysql_query("UPDATE kalender_bestillinger_billeder SET '3' = dsfsdfsf WHERE id =1");

Hej Jesper,det hjalp desværre ikke.

Så nu prøver jeg at lave en ny tabel som hedder testtabel med "id" og "col"

Jeg forstår ikke det med, at min database vender på hovedet.....

kan i uddybe det?

Svar: Hjælp til PHP UPDATE statement

Glen — Tue, 06 May 2014 05:12:20 GMT

Mikkel Mikjær Christensen:
du er ved at introducere en håndfuld sikkerhedsfejl, din database vender på hovedet og bryder alle konventioner ved at have tal som kolonne-navne, hvilket er dit eksakte problem i det her tilfælde, du skal sætte `` omkring 3-tallet i din query ...

OK, jeg prøver det.

Svar: Hjælp til PHP UPDATE statement

Jesper | Clickmedia — Tue, 06 May 2014 05:12:04 GMT

Godmorgen Glen,

Du har jo fået svaret?

$query = mysql_query("UPDATE kalender_bestillinger_billeder SET 3 = dsfsdfsf WHERE id =1");

skal være

$query = mysql_query("UPDATE kalender_bestillinger_billeder SET '3' = dsfsdfsf WHERE id =1");

Svar: Hjælp til PHP UPDATE statement

Glen — Tue, 06 May 2014 05:06:07 GMT

Hej begge

Ja, men det lærer jeg det jo ikke af..........

Jeg ved der er en masse ting som skal gøres bedre, men nu vil jeg i første omgang bare have det til at fungerer.....

Så spørgsmålet er bare, hvad der er galt.....

Svar: Hjælp til PHP UPDATE statement

Anonymous — Tue, 06 May 2014 04:55:17 GMT

Jeg græd indeni da jeg så koden, som i wauw.

1. Det er et MYSQL update statement vi snakker om her

2. Det der med at bruge mysql_query er en døddsynd. Brug mysqli eller PDO istedet.

3. Dit databaseskema er ehm. Ja det som Mike siger.

4. Hyr en fagmand. Jeg kan godt kode noget for dig, hvis det er. :-)

Svar: Hjælp til PHP UPDATE statement

Mikkel Mikjær Christensen — Mon, 05 May 2014 22:59:08 GMT

Hej Glen

For det første er det ikke et "PHP UPDATE Statement" men et "MYSQL UPDATE Statement" ... for det andet er din database noget rod, og den simple ting at du ikke kan finde ud af at læse error-loggen på min server fortæller mig at det bedste bud i din situation nok er at hyre en fagmand.

du er ved at introducere en håndfuld sikkerhedsfejl, din database vender på hovedet og bryder alle konventioner ved at have tal som kolonne-navne, hvilket er dit eksakte problem i det her tilfælde, du skal sætte `` omkring 3-tallet i din query ...

Men hyr en programmør ... det der virker kun lige indtil første gang en hacker kigger forbi :-) ... eller som minimum, sæt htaccess foran det!

Hjælp til PHP UPDATE statement

Glen — Mon, 05 May 2014 22:50:44 GMT

Hej alle.

jeg er lige ved at blive sindssyg,
jeg kan simpelthen ikke få min update statement til at fungere.
http://pastebin.com/LJwEyy6U

Der kommer ingen fejlmeddelelse, MEN intet bliver indsat i databasen.... og det er lykkes mig på andre sider at få indsat noget med insert og update statement statement.

min database:
http://billedeupload.dk/images/d3a4m.jpg
http://billedeupload.dk/images/Yq0L.jpg

Er der nogen som vil være søde at hjælpe mig?