Website beveiligen

**A Prins** · 05-03-2018, 18:20

Goedenavond.

Ik heb een vraag, ik ben een website aan het maken en wil hem ook meteen beveiligen tegen injecties. Nu loop ik vast bij het inlogscherm. Hij herkent op de 1 of andere manier niet of de leden zijn geactiveerd en of ze hun goede gebruikersnaam en wachtwoord hebben ingevuld als ik de mysqli_real_escape string plaats.

Dit is een stukje script waar het omgaat.

Code:

$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE `gebruikersnaam`='".$_POST['gebruiker']."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Dit moet het eigenlijk worden.

Code:

$_POST['gebruiker'] = mysqli_real_escape_string($_POST['gebruiker']);

$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE  `gebruikersnaam`='".$_POST['gebruiker']."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Zodra ik die escape string weghaal doet het inloggen het wel en als ik hem zo plaats zoals hierboven en hieronder doet die het weer niet.

Code:

$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE  `gebruikersnaam`='".mysqli_real_espcape_string($_POST['gebruiker'])."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Wie weet waar de fout ligt?

**K Tackoen** · 06-03-2018, 08:12

Origineel gepost door A Prins

Goedenavond.

Ik heb een vraag, ik ben een website aan het maken en wil hem ook meteen beveiligen tegen injecties. Nu loop ik vast bij het inlogscherm. Hij herkent op de 1 of andere manier niet of de leden zijn geactiveerd en of ze hun goede gebruikersnaam en wachtwoord hebben ingevuld als ik de mysqli_real_escape string plaats.

Dit is een stukje script waar het omgaat.

Code:

$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE `gebruikersnaam`='".$_POST['gebruiker']."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Dit moet het eigenlijk worden.

Code:

$_POST['gebruiker'] = mysqli_real_escape_string($_POST['gebruiker']);

$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE  `gebruikersnaam`='".$_POST['gebruiker']."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Zodra ik die escape string weghaal doet het inloggen het wel en als ik hem zo plaats zoals hierboven en hieronder doet die het weer niet.

Code:

$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE  `gebruikersnaam`='".mysqli_real_espcape_string($_POST['gebruiker'])."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Wie weet waar de fout ligt?

De fout ligt zeer simpel, als je niet weet wat je doet.. Doe het dan niet..

Als eerste heb je in je escape_string. een verkeerde bewoording. Het moet "mysqli_real_escape_string()" zijn. Daarbij als je ook maar even zoekt op mysqli_real_escape_string dan kun je lezen dat je de database connectie erin moet vermelden. In dit geval word je query dus:

PHP Code:


$activatie      = $db->query("SELECT * FROM `gebruikers` WHERE  `gebruikersnaam`='".mysqli_real_escape_string($db, $_POST['gebruiker'])."'") or die(mysqli_error());
$activatie      = mysqli_fetch_assoc($activatie);

Het beste kan je gaan werken met prepared statements en transactions.

Nog beter advies? Please stop with what you are doing and go find another hobby. Dit zijn allemaal basic vragen welke je lukraak hier op sitedeals vraagt zonder enig zelf onderzoek te doen. Je hebt hier talloze partijen voor:

- Google
- Stackoverflow
- ...
- ...

**J. Bosman** · 06-03-2018, 08:13

Hoezo moet hij ermee stoppen.
Je moet toch ergens beginnen? Denk niet dat jij 100% weet op programmeergebied, of wel?

**K Tackoen** · 06-03-2018, 08:15

Bosman,

Ik heb zelf oorspronkelijk geleerd dat je zelf onderzoek moet doen naar problemen en oorzaken en functionaliteit hoe dit zou dienen te werken.

De vragen en problemen welke hier naar voren komen zijn binnen 1 minuut te verhelpen / op te lossen wanneer je echter googled of gebruik maakt van stackoverflow.

Zijn andere topic net zo..

Ik heb nergens gezegd dat ik alles weet op het gebied van programmeren. Maar wel dat deze manier niet de manier is hoe je het leert ;-) Maar hé dit is zijn topic. Laten we het niet naar mij toe trekken ;-)

**J. Bosman** · 06-03-2018, 08:16

Ik ben het met je eens dat eerst Google-en wel een vereiste is voordat je hier om hulp graat vragen ;)

**Sander Kastelein** · 06-03-2018, 14:55

Ik laat deze wel even hier: http://www.phptherightway.com/

Veel succes met je website!

**K Tackoen** · 06-03-2018, 21:15

Origineel gepost door Sander Kastelein

Ik laat deze wel even hier: http://www.phptherightway.com/

Veel succes met je website!

[offtopic]Liefde![/offtopic]

**Jeroen Jaspers** · 07-03-2018, 06:26

http://php.net/manual/en/function.my...ape-string.php
Deze functie is binnenkort niet meer beschikbaar. Ik raad je aan om direct met php 7 te gaan werken. Dat scheelt je in de toekomst heel veel tijd.

Kijk en gebruik ondertussen PDO zie
https://www.w3schools.com/php/php_mysql_connect.asp

**K Tackoen** · 07-03-2018, 07:41

Origineel gepost door Jeroen JasperS

http://php.net/manual/en/function.my...ape-string.php
Deze functie is binnenkort niet meer beschikbaar. Ik raad je aan om direct met php 7 te gaan werken. Dat scheelt je in de toekomst heel veel tijd.

Kijk en gebruik ondertussen PDO zie
https://www.w3schools.com/php/php_mysql_connect.asp

Euhm, de topicstarter gebruikt al MySQLi_real_escape_string deze is niet deprecated in PHP 7 ;-)

http://php.net/manual/en/mysqli.real-escape-string.php

**Erik Kraijenoord** · 07-03-2018, 08:15

Origineel gepost door K Tackoen

Euhm, de topicstarter gebruikt al MySQLi_real_escape_string deze is niet deprecated in PHP 7 ;-)

http://php.net/manual/en/mysqli.real-escape-string.php

Neemt niet weg dat prepared statements beter zijn, voorkomen is beter dan genezen met side-functions.

http://php.net/manual/en/mysqli.prepare.php

**K Tackoen** · 07-03-2018, 14:45

Origineel gepost door Erik Kraijenoord

Neemt niet weg dat prepared statements beter zijn, voorkomen is beter dan genezen met side-functions.

http://php.net/manual/en/mysqli.prepare.php

Said that before, read my first post :)

**John Timmer** · 07-03-2018, 16:07

Leer je nu eerst eens hoe je het beste kunt debuggen, ipv. te vragen waar de fout ligt.

Als je zoiets gruwelijks als die(mysqli_error()) gebruikt dat alleen enigszins acceptable is tijdens ontwikkeling, dan kun je ook eerst je sql statement in een variabele duwen, die echoën en dan phpmyadmin pasten om te kijken waarom het niet werkt.

In dit stukje zit zoveel fout....

- backticks in sqlstatements
- incorrente/missende parameters in functies
- overschrijven van globale en locale variabelen
- post vars direct in sql statements gebruiken zonder prepare
- een OO style query doen en dan procedureel weer uitlezen... choose ONE!

Vergeet gewoon alles wat je gelezen hebt, begin opnieuw en als je iets googled, zorg dat het van 2017 of recenter is.

Website beveiligen