Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

saidmrn

Segurança PHP&mysql Versões incompatíveis

Recommended Posts

Olá pessoal,tudo bem ?,tive uma dúvida.

 

Tava codando no computador o acesso ao banco de dados

 

 

$id_produto = $_GET['id'];
$sql = "SELECT imagem FROM `imagens` where id_produto = '$id_produto'";
$result = $mysqli->query($sql);

 

Porém este metodo é sujeito a mysql injection,então decidi fazer desta forma:

 

 

$id_produto =  $_GET['id'];
 
            $sql = $mysqli->prepare('SELECT imagem FROM imagens WHERE id_produto = ?');
            $sql->bind_param('s',$id_produto);
            $sql->execute();

 

Porém,no servidor,quando eu Upo,o segundo método não funciona,não sei se é porcausa da versão do Mysql que é 5.1.61 e no meu computador é 5.16.17

 

Como irei fazer o código para o site,usando um código seguro igual ao código atualizado acima ?

 

Agradeço desde já !

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Será que não é 'culpa' php.ini?

 

Pois na recomendação não fala por nenhum momento que o Mysql tem restrição de versão para utilizar PDO

http://php.net/manual/en/pdo.installation.php

 

Se você habilitar os erros no ambiente de 'produção' oq aparece no trecho do bind?

 

agora sobre evitar um Injection no seu exemplo sem utilizar o pdo.

é só filtrar por números a entrada.

<?php 



function getOnlyNumber($input){
	// $input = "222.333.666.38";
	$pattern = '/[^\d]/';
	$replacement = '';	//Substitui
	return preg_replace($pattern, $replacement, $input);
}

$id = getOnlyNumber($_GET);
//"SELECT INTO ...WHERE id = '$id' "

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Será que não é 'culpa' php.ini?

 

Pois na recomendação não fala por nenhum momento que o Mysql tem restrição de versão para utilizar PDO

http://php.net/manual/en/pdo.installation.php

 

Se você habilitar os erros no ambiente de 'produção' oq aparece no trecho do bind?

 

agora sobre evitar um Injection no seu exemplo sem utilizar o pdo.

é só filtrar por números a entrada.

<?php 



function getOnlyNumber($input){
	// $input = "222.333.666.38";
	$pattern = '/[^\d]/';
	$replacement = '';	//Substitui
	return preg_replace($pattern, $replacement, $input);
}

$id = getOnlyNumber($_GET);
//"SELECT INTO ...WHERE id = '$id' "

Olá,obrigado pela ajuda,porém não retorna nenhum erro.

não posso fazer do segundo método,pois o id também tem letras,ex: 2BBCC

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Você instanciou a class mysqli antes de chamar o objeto ? no seu param, no lugar do "S" seria "i" pois você está tratando como string. O correto é como inteiro. Já que se trata de números

Compartilhar este post


Link para o post
Compartilhar em outros sites

Você instanciou a class mysqli antes de chamar o objeto ? no seu param, no lugar do "S" seria "i" pois você está tratando como string. O correto é como inteiro. Já que se trata de números

Mas o id do produto é uma string,por exemplo: 1CAB,2CAB,3CCCCA e etc...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu fiquei em dúvida tambem sobre isso @saidmrn
Mas depois q me liguei.

Oq o @Alaerte está falando é.

$sql->bind_param('s',$id_produto);

o 's' significa string

mas até ai está realmente certo já que você está trabalhando com uma id composta por número + letra.
De qualquer forma você pode adaptar a expressão regular que te dei como exemplo para pegar só
Letra + Número.
Assim já uma protegida ^_^ inicial se o pdo não rolar.

http://php.net/manual/en/function.preg-replace.php

Ou então utilizar funções para proteção.

:htmlspecialchars, addslashes e/ou htmlentities.
Lembrando que ataques são reais inclusive no imaster um usuario sofreu esses dias com uma invasão de XSS.

Então vale a pena investir um tempo na proteção de seu sistema.

Abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu fiquei em dúvida tambem sobre isso @saidmrn

Mas depois q me liguei.

 

Oq o @Alaerte está falando é.

 

$sql->bind_param('s',$id_produto);

o 's' significa string

mas até ai está realmente certo já que você está trabalhando com uma id composta por número + letra.

De qualquer forma você pode adaptar a expressão regular que te dei como exemplo para pegar só

Letra + Número.

Assim já uma protegida ^_^ inicial se o pdo não rolar.

http://php.net/manual/en/function.preg-replace.php

 

Ou então utilizar funções para proteção.

 

:htmlspecialchars, addslashes e/ou htmlentities.

Lembrando que ataques são reais inclusive no imaster um usuario sofreu esses dias com uma invasão de XSS.

Então vale a pena investir um tempo na proteção de seu sistema.

 

Abraços

 

 

Olá,irei pesquisar mais sobre estes métodos,porém ainda estou na dúvida,por que será que a 2 opção não está pegando no meu host ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok vamos tentar descobrir.

Inicialmente dentro da produção o modulo do PDO está ativo?

 

Para verificar/confirmar suba um arquivo info.php com o seguinte conteúdo:

<?php
phpinfo();

E veja se a Lib está correta.

 

Você realmente ativou os erros?
na execução e tentou utilizar a parte que executa o pdo?

ini_set('display_errors', true);
error_reporting(E_ALL);

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vish.

Ai não sei.

o arquivo de conexão new PDO('mysql:host=... está correto?

O banco de dados na produção também está correto?

 

Quando você passa para o mysqli ele funciona no ambiente produção? (essa resposta mata as duas acima u.u)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tenta algo simples no PDO.

 

pdotest.php:

<?php
try {
	$user = 'root';
	$pass = '';
	
    $dbh = new PDO('mysql:host=localhost;dbname=banco', $user, $pass);
    foreach($dbh->query('SELECT * from pessoa') as $row) {
        print_r($row);
    }
    $dbh = null;
} catch (PDOException $e) {
    print "Error!: " . $e->getMessage() . "<br/>";
    die();
}

Compartilhar este post


Link para o post
Compartilhar em outros sites

Esse seu código funcionou em ambos servidores.porém não conheco muito PDO.
então teria que continuar com o mysqli.
Este codigo funcionando no servidor,qual será o problema do outro então ? :mellow:

 

 

@edit

 

Para registrar também não está pegando e estou utilizando:

 

 

$sql = $mysqli->prepare(" INSERT INTO clientes (nome,email,senha,endereco,pais) VALUES (?,?,?,?,?)");
$sql->bind_param("sssss", $nome,$email,$password,$endereco,$pais);
echo "registro concluido";
$sql->execute();

 

e no local funciona

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nossa me confundi legal haha

to lendo bind e imaginando só PDO por isso falei dele.

 

Enfim testa esse aqui :

<?php

$mysqli = new mysqli('localhost', 'root', '', 'banco');

/* check connection */
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

$stmt = $mysqli->prepare('SELECT imagem FROM imagens WHERE id_produto = ?');
var_dump($mysqli);

$id_produto = '2BBCC'; //Precisa criar a variavel fora!

$stmt->bind_param('s', $nm);
$stmt->execute();

O legal desse var_dump é q ele exibe o ultimo erro.

Ex forcei uma tabela q não existia ele acabou trazendo:

["error"]=>

string(32) "Table 'banco.pessoas' doesn't exist"

Compartilhar este post


Link para o post
Compartilhar em outros sites

O seu código não funcionou no local

object(mysqli)[1]
public 'affected_rows' => null
public 'client_info' => null
public 'client_version' => null
public 'connect_errno' => null
public 'connect_error' => null
public 'errno' => null
public 'error' => null
public 'error_list' => null
public 'field_count' => null
public 'host_info' => null
public 'info' => null
public 'insert_id' => null
public 'server_info' => null
public 'server_version' => null
public 'stat' => null
public 'sqlstate' => null
public 'protocol_version' => null
public 'thread_id' => null
public 'warning_count' => null

@EDIT

 

já no servidor apresentou isso:

 

 

 
object(mysqli)#1 (19) { ["affected_rows"]=> int(-1) ["client_info"]=> string(15) "10.0.24-MariaDB" ["client_version"]=> int(100024) ["connect_errno"]=> int(0) ["connect_error"]=> NULL ["errno"]=> int(0) ["error"]=> string(0) "" ["error_list"]=> array(0) { } ["field_count"]=> int(0) ["host_info"]=> string(25) "Localhost via UNIX socket" ["info"]=> NULL ["insert_id"]=> int(0) ["server_info"]=> string(15) "10.0.20-MariaDB" ["server_version"]=> int(100020) ["stat"]=> string(159) "Uptime: 6725713 Threads: 34 Questions: 9069833464 Slow queries: 2248 Opens: 36415538 Flush tables: 1 Open tables: 29999 Queries per second avg: 1348.531" ["sqlstate"]=> string(5) "00000" ["protocol_version"]=> int(10) ["thread_id"]=> int(214732251) ["warning_count"]=> int(0) }
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Testei o código que cria a conta do usuário.

 

 

$sql = $mysqli->prepare(" INSERT INTO clientes (nome,email,senha,endereco,pais) VALUES (?,?,?,?,?)");
$sql->bind_param("sssss", $nome,$email,$password,$endereco,$pais);
echo "registro concluido";
$sql->execute();

 

e ele está inserindo normalmente,localmente e no servidor

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sobre o code deixei ele tabulado, ajuda na visualização:

 object(mysqli)#1 (19) { 
	["affected_rows"]=> int(-1) 
	["client_info"]=> string(15) "10.0.24-MariaDB" 
	["client_version"]=> int(100024) 
	["connect_errno"]=> int(0) 
	["connect_error"]=> NULL 
	["errno"]=> int(0) 
	["error"]=> string(0) "" 
	["error_list"]=> array(0) { } 
	["field_count"]=> int(0) 
	["host_info"]=> string(25) "Localhost via UNIX socket" 
	["info"]=> NULL 
	["insert_id"]=> int(0) 
	["server_info"]=> string(15) "10.0.20-MariaDB" 
	["server_version"]=> int(100020) 
	["stat"]=> string(159) "Uptime: 6725713 Threads: 34 Questions: 9069833464 Slow queries: 2248 Opens: 36415538 Flush tables: 1 Open tables: 29999 Queries per second avg: 1348.531" 
	["sqlstate"]=> string(5) "00000" 
	["protocol_version"]=> int(10) 
	["thread_id"]=> int(214732251) 
	["warning_count"]=> int(0) 
}

Opá.
se o insert rola já anulou qualquer possibilidade de ser problemas.

 

Parto sempre da premissa que a gente está fazendo alguma merda e nunca é o servidor HSAUHASUAS

 

 

De forma simplificada como está o seu Select dinâmico?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,deste jeito,está funcionando tanto em localhost,tanto no servidor:

$id_produto =  $_GET['id'];
            $sql = "SELECT imagem FROM `imagens` where id_produto = '$id_produto'";
            $result = $mysqli->query($sql);
            echo $mysqli->error;
            if ($result->num_rows > 0) {
 
                while($row = $result->fetch_assoc()) {
 
}
}

Deste modo,funciona apenas no local:

 
 
$id_produto = $_GET['id'];



$sql = $mysqli->prepare('SELECT imagem FROM imagens WHERE id_produto = ?');

$sql->bind_param('s',$id_produto);

$sql->execute();





$result = $sql->get_result();
 
///////////////////////////////////////////////////////////////////////////////////
$sql = $mysqli->prepare('SELECT * FROM `produtos` where idioma = ? and id_produto = ?');

$sql->bind_param('is',$idioma,$id_produto);

$sql->execute();





$result = $sql->get_result();

echo $mysqli->error;
 

@EDIT

 

Se for inserido um ID errado,no local ele mostra todos os erros,porém no servidor ele não retorna nadinha

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não aparecia nenhum erro na página,mas fui olhar o html e encontrei:

 

 

 

	
		
			
				<b>Fatal error</b>: Uncaught Error: Call to undefined method mysqli_stmt::get_result() in /home/u827835329/public_html/produto.php:201
		
		
			
				 
			
				Stack trace:
		
		
			
				 
			
				#0 {main}
		
		
			
				 
			
				thrown in <b>/home/u827835329/public_html/produto.php</b> on line <b>201</b><br />
				 
				 
				 
			
		
	

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nem sei se tu ta acordado ainda haha

Eu nunca tinha usado o mysql ai aproveitei e tava brincando com ele pra entender melhor.

 

Aqui deu certo com um exemplo, ai adaptei um banco rapidinho pra suas variáveis.

Da uma testada e ve se funciona no seu serv.

<?php
/*
create database banco;
use banco;

create table imagens(
	 id_produto char(5) PRIMARY KEY
	,imagem VARCHAR(250) NOT NULL
)Engine=InnoDb;
INSERT INTO imagens (id_produto, imagem) values ('2BBCC', '123.jpg');

*/
$mysqli = new mysqli('localhost', 'root', '', 'banco');
 
 // check connection 
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

$sql = 'SELECT id_produto, imagem FROM `imagens` where id_produto = ?';
 
/* Prepare statement */
$stmt = $mysqli->prepare($sql);
if($stmt === false) {
  trigger_error('Wrong SQL: ' . $sql . ' Error: ' . $mysqli->errno . ' ' . $mysqli->error, E_USER_ERROR);
}
 
$id_produto = '2BBCC';

$stmt->bind_param('s', $id_produto);


/* Execute statement */
$stmt->execute();
 
/* Fetch result and be ready or object or array */
$res = $stmt->get_result();


while($row = $res->fetch_object()) {
	echo $row->id_produto;
	echo '<br />';
	echo $row->imagem;
	echo '<hr />';
}


Compartilhar este post


Link para o post
Compartilhar em outros sites

  • Conteúdo Similar

    • Por douglas79
      Bom dia,

      Há alguns dias que venho instalar o apache, o php, mysql e o phpmyadmin manualmente e sem obter sucesso. Até consegui rodar o php, porém, quando vou baixar a úitima versão do MYSQL, não tem todos os pacotes nele instalados, inclusive no completo, só encontro o Router.
      Alguém pode me dizer o porquê que isso está ocorrendo?
      Desde já agradeço a ajuda de vocês, que será bem vinda!
      No aguardo!

      Uso a versão 8.3.9 do PHP
      Meu SO é o Windows 10 32 bits
    • Por landerbadi
      Tenho uma tabela chamada "item" com os seguintes campos: id, name, active. Nela tem cadastrado vários itens. No campo "active" eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo active. E outra tabela chamada "product" com os seguintes campos (id, name) com os seguintes registros: 1, Produto A 2, Produto B 3, Produto C E uma terceira tabela chamada "product_item" com os seguintes campos (productID, itemID). No campo productID eu coloco o id de um produto da tabela "product" e no campo "itemID" eu coloco o id do produto da tabela "item". Exemplo: 1, 1 1, 3 1, 4 2, 3 2, 4 Sendo assim o produto A da tabela 'product" comtem os itens casa, cama e moto. Eu preciso fazer uma busca da seguinte maneira:  Eu escolho um registro da tabela "item", por exemplo "casa". Preciso fazer com que o php me liste todos os registros da tabela "product" que contenham a palavra "casa" e que os demais itens estejam ativos no siste. Ou seja, que contenham um "S" no campo "active"  Eu consegui fazer isso da seguinte maneira: SELECT P.id, P.name, GROUP_CONCAT(I.name ORDER BY I.name) AS items FROM product P JOIN product_item PI ON P.id = PI.productID JOIN item I ON I.id = PI.itemID AND I.active = 'S' WHERE P.id NOT IN ( SELECT PI.productID FROM product_item PI JOIN item I ON I.id = PI.itemID WHERE I.active IS NULL ) AND P.id IN ( SELECT PI.productID FROM product_item PI JOIN item I ON I.id = PI.itemID WHERE I.name = 'mesa' ) GROUP BY P.id, P.name; O problema que eu estou tendo é o seguinte:
      Quando eu jogo este código para o banco de dados onde eu já tenho os registros cadastrado o php fica lendo uma eternidade e não lista os produtos.
       
      Usando código no banco de dados que eu fiz para testes ele funciona perfeitamente pois nele tem poucos registros.
       
      No banco de dados principal a tabela "item" tem 11.196 registros. A tabela "product" tem 88.214 registros e a tabela "product_item" tem 518.378 registros. 
       
      Eu acredito que, devido o banco de dados ser muito grande, ele não consegue listar.
       
      Alguém sabe de algum meio de resolver isso?
       
       
    • Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, ativo. Nela tem cadastrado vários itens. No campo ativo eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "produtos" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, mesa, moto 2, mesa, casa, cama 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela produtos da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "mesa". Preciso fazer com que o php me liste todos os registros da tabela "produtos" que contenham a palavra "mesa". Até aqui tudo bem eu consigo listar. Estou fazendo assim: <?php $item = "mesa" $sql = mysqli_query($conn, "SELECT * FROM produtos WHERE item1 LIKE '$item' OR item2 LIKE '$item' OR item3 LIKE '$item' LIMIT 10"); while($aux = mysqli_fetch_assoc($sql)) { $id = $aux["id"]; $item1 = $aux["item1"]; $item2 = $aux["item2"]; $item3 = $aux["item3"]; echo $id . " - " . $item1 . ", " . $item2 . ", " $item3 . "<br>"; } ?> O problema é que está listando todos os registros que contém o item mesa. Eu preciso que o php verifique os demais item e me liste somente os registro em que todos os registros estejam ativos no sistema. No exemplo acima ele não deveria listar o registro 3. pois nesse registro contém o item "radio" e este item não está ativo no sistema. Ou seja, o registro "radio" na tabela itens não possui um "S" na coluna "ativo". Alguém sabe como resolver isso?
    • Por First
      Olá a todos!
       
      Eu estou criando um sistema do zero mas estou encontnrando algumas dificuldades e não estou sabendo resolver, então vim recorrer ajuda de vocês.
      Aqui está todo o meu código: https://github.com/PauloJagata/aprendizado/
       
      Eu fiz um sistema de rotas mas só mostra o conteúdo da '/' não sei porque, quando eu tento acessar o register nada muda.
      E eu também quero que se não estiver liberado na rota mostra o erro de 404, mas quando eu tento acessar um link inválido, nada acontece.
      Alguém pode me ajudar com isso? E se tiver algumas sugestão para melhoria do código também estou aceitando.
       
       
      Desde já, obrigado.
    • Por landerbadi
      Olá pessoal, boa tarde
       
      Tenho uma tabela chamada "produtos" com os seguintes campos (id, produto) e outra tabela chamada "itens" com os seguintes campos (id, prod_01, prod_02, prod_03, prod_04).
       
      Na tabela produtos eu tenho cadastrado os seguintes produtos: laranja, maçã, uva, goiaba, arroz, feijão, macarrão, etc.
       
      Na tabela itens eu tenho cadastrado os itens da seguinte maneira:
       
      1, laranja, uva, arroz, feijão;
      2, maçã, macarrão, goiaba, uva;
      3, arroz, feijão, maçã, azeite
       
      Meu problema é o seguinte: 
      Eu escolho um produto da tabela "produtos", por exemplo "uva".  Preciso fazer uma consulta na tabela "itens" para ser listado todos os registros que contenham o produto "uva" e que todos os demais produtos estejam cadastrados na tabela "produtos".
       
      No exemplo acima seria listado apenas dois registros, pois o terceiro registro não contém o produto "uva". 
       
      Alguém pode me ajudar? Pois estou quebrando a cabeça a vários dias e não consigo achar uma solução.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.