Gå til innhold

Nybegynnerfeil i PHP-sikkerhet

Noble

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
MikkelRev

MikkelRev

Skrevet
Skrevet

-captcha

-backup

-være forsiktig med å bruke INSERT/UPDATE basert på mysql_insert_id() fra forrige spørring

-husk at html-kommentarer (og all klientkode for den saks skyld) er synlig

-krypter passord i databasen

-forvent det umulige (som i praksis er å sette inn en ekstra Else)

 

 

Hadde alle vært snill og god, hadde det vært så mye mindre å tenke på, og så mye mindre tid, arbeid og ressurser som hadde vært påkrevd. :roll:

Lenke til kommentar
Jonas

Jonas

Skrevet
Skrevet (endret)
-være forsiktig med å bruke INSERT/UPDATE basert på mysql_insert_id() fra forrige spørring

Den er du nødt til å utdype. Jeg er svært interessert i å høre hva du mener utgjør et potensielt sikkerhetshull her.

Endret av Jonas
Lenke til kommentar
MikkelRev

MikkelRev

Skrevet
Skrevet

@Jonas:

Jeg finner ikke igjen tråden der noen forklarte det bedre enn det jeg er i stand til. Men etter det jeg husker, om du har noe slikt feks:

 

INSERT INTO transaksjon (bla bla bla)

 

UPDATE kunde (bruk mysql_insert_id() fra spørringen over)

 

Så er det ingen garanti at UPDATE'n belaster riktig kunde om det er flere kunder som bruker systemet samtidig. Jeg tenker det er viktig å forsikre seg mot at slikt skjer. Du kan sikkert argumentere om at det ikke har noe med sikkerhet å gjøre, men konsekvensene kan være vel så alvorlige som malware og datainnbrydd.

Lenke til kommentar
Noble

Noble

Skrevet
  • Forfatter
Skrevet

@Jonas:

Jeg finner ikke igjen tråden der noen forklarte det bedre enn det jeg er i stand til. Men etter det jeg husker, om du har noe slikt feks:

 

INSERT INTO transaksjon (bla bla bla)

 

UPDATE kunde (bruk mysql_insert_id() fra spørringen over)

 

Så er det ingen garanti at UPDATE'n belaster riktig kunde om det er flere kunder som bruker systemet samtidig. Jeg tenker det er viktig å forsikre seg mot at slikt skjer. Du kan sikkert argumentere om at det ikke har noe med sikkerhet å gjøre, men konsekvensene kan være vel så alvorlige som malware og datainnbrydd.

Hva bør jeg bruke i stedenfor da? Har til å i prosjektet benyttet meg av et unix timestamp til slike ting.

Lenke til kommentar
nomore

nomore

Skrevet
Skrevet

@Jonas:

Jeg finner ikke igjen tråden der noen forklarte det bedre enn det jeg er i stand til. Men etter det jeg husker, om du har noe slikt feks:

 

INSERT INTO transaksjon (bla bla bla)

 

UPDATE kunde (bruk mysql_insert_id() fra spørringen over)

 

Så er det ingen garanti at UPDATE'n belaster riktig kunde om det er flere kunder som bruker systemet samtidig. Jeg tenker det er viktig å forsikre seg mot at slikt skjer. Du kan sikkert argumentere om at det ikke har noe med sikkerhet å gjøre, men konsekvensene kan være vel så alvorlige som malware og datainnbrydd.

Så vidt meg bekjent så skal mysql_insert_id() være knyttet til tilkoblingen. Mao, om to brukere er inne samtidig så skal det være korrekt id som returneres.

Lenke til kommentar
Jonas

Jonas

Skrevet
Skrevet (endret)

MikkelRev, jeg tipper dette er tråden du leter etter. Og det du beskriver er for øvrig ikke et problem. Som allerede nevnt i tråden, så garanterer MySQL at alle koblinger mot databasen er separert mtp. last_insert_id. Dette er forresten ikke værre enn å teste selv. Opprett to tilkoblinger, kjør to inserts og se hva last_insert_id returnerer.

Endret av Jonas
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...