Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

saidmrn

Segurança PHP&mysql Versões incompatíveis

Por , em PHP

Recommended Posts

saidmrn    26

saidmrn
Postado

Olá pessoal,tudo bem ?,tive uma dúvida.

 

Tava codando no computador o acesso ao banco de dados

 

 

$id_produto = $_GET['id'];
$sql = "SELECT imagem FROM `imagens` where id_produto = '$id_produto'";
$result = $mysqli->query($sql);

 

Porém este metodo é sujeito a mysql injection,então decidi fazer desta forma:

 

 

$id_produto =  $_GET['id'];
 
            $sql = $mysqli->prepare('SELECT imagem FROM imagens WHERE id_produto = ?');
            $sql->bind_param('s',$id_produto);
            $sql->execute();

 

Porém,no servidor,quando eu Upo,o segundo método não funciona,não sei se é porcausa da versão do Mysql que é 5.1.61 e no meu computador é 5.16.17

 

Como irei fazer o código para o site,usando um código seguro igual ao código atualizado acima ?

 

Agradeço desde já !

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Será que não é 'culpa' php.ini?

 

Pois na recomendação não fala por nenhum momento que o Mysql tem restrição de versão para utilizar PDO

http://php.net/manual/en/pdo.installation.php

 

Se você habilitar os erros no ambiente de 'produção' oq aparece no trecho do bind?

 

agora sobre evitar um Injection no seu exemplo sem utilizar o pdo.

é só filtrar por números a entrada.

<?php 



function getOnlyNumber($input){
	// $input = "222.333.666.38";
	$pattern = '/[^\d]/';
	$replacement = '';	//Substitui
	return preg_replace($pattern, $replacement, $input);
}

$id = getOnlyNumber($_GET);
//"SELECT INTO ...WHERE id = '$id' "

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

 

Será que não é 'culpa' php.ini?

 

Pois na recomendação não fala por nenhum momento que o Mysql tem restrição de versão para utilizar PDO

http://php.net/manual/en/pdo.installation.php

 

Se você habilitar os erros no ambiente de 'produção' oq aparece no trecho do bind?

 

agora sobre evitar um Injection no seu exemplo sem utilizar o pdo.

é só filtrar por números a entrada.

<?php 



function getOnlyNumber($input){
	// $input = "222.333.666.38";
	$pattern = '/[^\d]/';
	$replacement = '';	//Substitui
	return preg_replace($pattern, $replacement, $input);
}

$id = getOnlyNumber($_GET);
//"SELECT INTO ...WHERE id = '$id' "

Olá,obrigado pela ajuda,porém não retorna nenhum erro.

não posso fazer do segundo método,pois o id também tem letras,ex: 2BBCC

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

Alaerte Gabriel    662

Alaerte Gabriel
Postado

Você instanciou a class mysqli antes de chamar o objeto ? no seu param, no lugar do "S" seria "i" pois você está tratando como string. O correto é como inteiro. Já que se trata de números

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

Você instanciou a class mysqli antes de chamar o objeto ? no seu param, no lugar do "S" seria "i" pois você está tratando como string. O correto é como inteiro. Já que se trata de números

Mas o id do produto é uma string,por exemplo: 1CAB,2CAB,3CCCCA e etc...

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Eu fiquei em dúvida tambem sobre isso @saidmrn
Mas depois q me liguei.

Oq o @Alaerte está falando é.

$sql->bind_param('s',$id_produto);

o 's' significa string

mas até ai está realmente certo já que você está trabalhando com uma id composta por número + letra.
De qualquer forma você pode adaptar a expressão regular que te dei como exemplo para pegar só
Letra + Número.
Assim já uma protegida ^_^ inicial se o pdo não rolar.

http://php.net/manual/en/function.preg-replace.php

Ou então utilizar funções para proteção.

:htmlspecialchars, addslashes e/ou htmlentities.
Lembrando que ataques são reais inclusive no imaster um usuario sofreu esses dias com uma invasão de XSS.

Então vale a pena investir um tempo na proteção de seu sistema.

Abraços

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

Eu fiquei em dúvida tambem sobre isso @saidmrn

Mas depois q me liguei.

 

Oq o @Alaerte está falando é.

 

$sql->bind_param('s',$id_produto);

o 's' significa string

mas até ai está realmente certo já que você está trabalhando com uma id composta por número + letra.

De qualquer forma você pode adaptar a expressão regular que te dei como exemplo para pegar só

Letra + Número.

Assim já uma protegida ^_^ inicial se o pdo não rolar.

http://php.net/manual/en/function.preg-replace.php

 

Ou então utilizar funções para proteção.

 

:htmlspecialchars, addslashes e/ou htmlentities.

Lembrando que ataques são reais inclusive no imaster um usuario sofreu esses dias com uma invasão de XSS.

Então vale a pena investir um tempo na proteção de seu sistema.

 

Abraços

 

 

Olá,irei pesquisar mais sobre estes métodos,porém ainda estou na dúvida,por que será que a 2 opção não está pegando no meu host ?

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Ok vamos tentar descobrir.

Inicialmente dentro da produção o modulo do PDO está ativo?

 

Para verificar/confirmar suba um arquivo info.php com o seguinte conteúdo:

<?php
phpinfo();

E veja se a Lib está correta.

 

Você realmente ativou os erros?
na execução e tentou utilizar a parte que executa o pdo?

ini_set('display_errors', true);
error_reporting(E_ALL);

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Vish.

Ai não sei.

o arquivo de conexão new PDO('mysql:host=... está correto?

O banco de dados na produção também está correto?

 

Quando você passa para o mysqli ele funciona no ambiente produção? (essa resposta mata as duas acima u.u)

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Tenta algo simples no PDO.

 

pdotest.php:

<?php
try {
	$user = 'root';
	$pass = '';
	
    $dbh = new PDO('mysql:host=localhost;dbname=banco', $user, $pass);
    foreach($dbh->query('SELECT * from pessoa') as $row) {
        print_r($row);
    }
    $dbh = null;
} catch (PDOException $e) {
    print "Error!: " . $e->getMessage() . "<br/>";
    die();
}

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

Esse seu código funcionou em ambos servidores.porém não conheco muito PDO.
então teria que continuar com o mysqli.
Este codigo funcionando no servidor,qual será o problema do outro então ? :mellow:

 

 

@edit

 

Para registrar também não está pegando e estou utilizando:

 

 

$sql = $mysqli->prepare(" INSERT INTO clientes (nome,email,senha,endereco,pais) VALUES (?,?,?,?,?)");
$sql->bind_param("sssss", $nome,$email,$password,$endereco,$pais);
echo "registro concluido";
$sql->execute();

 

e no local funciona

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Nossa me confundi legal haha

to lendo bind e imaginando só PDO por isso falei dele.

 

Enfim testa esse aqui :

<?php

$mysqli = new mysqli('localhost', 'root', '', 'banco');

/* check connection */
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

$stmt = $mysqli->prepare('SELECT imagem FROM imagens WHERE id_produto = ?');
var_dump($mysqli);

$id_produto = '2BBCC'; //Precisa criar a variavel fora!

$stmt->bind_param('s', $nm);
$stmt->execute();
O legal desse var_dump é q ele exibe o ultimo erro.

Ex forcei uma tabela q não existia ele acabou trazendo:

["error"]=>

string(32) "Table 'banco.pessoas' doesn't exist"

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

O seu código não funcionou no local

object(mysqli)[1]
public 'affected_rows' => null
public 'client_info' => null
public 'client_version' => null
public 'connect_errno' => null
public 'connect_error' => null
public 'errno' => null
public 'error' => null
public 'error_list' => null
public 'field_count' => null
public 'host_info' => null
public 'info' => null
public 'insert_id' => null
public 'server_info' => null
public 'server_version' => null
public 'stat' => null
public 'sqlstate' => null
public 'protocol_version' => null
public 'thread_id' => null
public 'warning_count' => null

@EDIT

 

já no servidor apresentou isso:

 

 

 
object(mysqli)#1 (19) { ["affected_rows"]=> int(-1) ["client_info"]=> string(15) "10.0.24-MariaDB" ["client_version"]=> int(100024) ["connect_errno"]=> int(0) ["connect_error"]=> NULL ["errno"]=> int(0) ["error"]=> string(0) "" ["error_list"]=> array(0) { } ["field_count"]=> int(0) ["host_info"]=> string(25) "Localhost via UNIX socket" ["info"]=> NULL ["insert_id"]=> int(0) ["server_info"]=> string(15) "10.0.20-MariaDB" ["server_version"]=> int(100020) ["stat"]=> string(159) "Uptime: 6725713 Threads: 34 Questions: 9069833464 Slow queries: 2248 Opens: 36415538 Flush tables: 1 Open tables: 29999 Queries per second avg: 1348.531" ["sqlstate"]=> string(5) "00000" ["protocol_version"]=> int(10) ["thread_id"]=> int(214732251) ["warning_count"]=> int(0) }

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

Testei o código que cria a conta do usuário.

 

 

$sql = $mysqli->prepare(" INSERT INTO clientes (nome,email,senha,endereco,pais) VALUES (?,?,?,?,?)");
$sql->bind_param("sssss", $nome,$email,$password,$endereco,$pais);
echo "registro concluido";
$sql->execute();

 

e ele está inserindo normalmente,localmente e no servidor

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Sobre o code deixei ele tabulado, ajuda na visualização:

 object(mysqli)#1 (19) { 
	["affected_rows"]=> int(-1) 
	["client_info"]=> string(15) "10.0.24-MariaDB" 
	["client_version"]=> int(100024) 
	["connect_errno"]=> int(0) 
	["connect_error"]=> NULL 
	["errno"]=> int(0) 
	["error"]=> string(0) "" 
	["error_list"]=> array(0) { } 
	["field_count"]=> int(0) 
	["host_info"]=> string(25) "Localhost via UNIX socket" 
	["info"]=> NULL 
	["insert_id"]=> int(0) 
	["server_info"]=> string(15) "10.0.20-MariaDB" 
	["server_version"]=> int(100020) 
	["stat"]=> string(159) "Uptime: 6725713 Threads: 34 Questions: 9069833464 Slow queries: 2248 Opens: 36415538 Flush tables: 1 Open tables: 29999 Queries per second avg: 1348.531" 
	["sqlstate"]=> string(5) "00000" 
	["protocol_version"]=> int(10) 
	["thread_id"]=> int(214732251) 
	["warning_count"]=> int(0) 
}

Opá.
se o insert rola já anulou qualquer possibilidade de ser problemas.

 

Parto sempre da premissa que a gente está fazendo alguma merda e nunca é o servidor HSAUHASUAS

 

 

De forma simplificada como está o seu Select dinâmico?

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

Olá,deste jeito,está funcionando tanto em localhost,tanto no servidor:

$id_produto =  $_GET['id'];
            $sql = "SELECT imagem FROM `imagens` where id_produto = '$id_produto'";
            $result = $mysqli->query($sql);
            echo $mysqli->error;
            if ($result->num_rows > 0) {
 
                while($row = $result->fetch_assoc()) {
 
}
}

Deste modo,funciona apenas no local:

 
 
$id_produto = $_GET['id'];



$sql = $mysqli->prepare('SELECT imagem FROM imagens WHERE id_produto = ?');

$sql->bind_param('s',$id_produto);

$sql->execute();





$result = $sql->get_result();
 
///////////////////////////////////////////////////////////////////////////////////
$sql = $mysqli->prepare('SELECT * FROM `produtos` where idioma = ? and id_produto = ?');

$sql->bind_param('is',$idioma,$id_produto);

$sql->execute();





$result = $sql->get_result();

echo $mysqli->error;

@EDIT

 

Se for inserido um ID errado,no local ele mostra todos os erros,porém no servidor ele não retorna nadinha

Compartilhar este post

Link para o post
Compartilhar em outros sites

saidmrn    26

saidmrn
Postado

Não aparecia nenhum erro na página,mas fui olhar o html e encontrei:

 

 

 

	
		
			
				<b>Fatal error</b>: Uncaught Error: Call to undefined method mysqli_stmt::get_result() in /home/u827835329/public_html/produto.php:201
		
		
			
				 
			
				Stack trace:
		
		
			
				 
			
				#0 {main}
		
		
			
				 
			
				thrown in <b>/home/u827835329/public_html/produto.php</b> on line <b>201</b><br />

Compartilhar este post

Link para o post
Compartilhar em outros sites

gabrieldarezzo    255

gabrieldarezzo
Postado

Nem sei se tu ta acordado ainda haha

Eu nunca tinha usado o mysql ai aproveitei e tava brincando com ele pra entender melhor.

 

Aqui deu certo com um exemplo, ai adaptei um banco rapidinho pra suas variáveis.

Da uma testada e ve se funciona no seu serv.

<?php
/*
create database banco;
use banco;

create table imagens(
	 id_produto char(5) PRIMARY KEY
	,imagem VARCHAR(250) NOT NULL
)Engine=InnoDb;
INSERT INTO imagens (id_produto, imagem) values ('2BBCC', '123.jpg');

*/
$mysqli = new mysqli('localhost', 'root', '', 'banco');
 
 // check connection 
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

$sql = 'SELECT id_produto, imagem FROM `imagens` where id_produto = ?';
 
/* Prepare statement */
$stmt = $mysqli->prepare($sql);
if($stmt === false) {
  trigger_error('Wrong SQL: ' . $sql . ' Error: ' . $mysqli->errno . ' ' . $mysqli->error, E_USER_ERROR);
}
 
$id_produto = '2BBCC';

$stmt->bind_param('s', $id_produto);


/* Execute statement */
$stmt->execute();
 
/* Fetch result and be ready or object or array */
$res = $stmt->get_result();


while($row = $res->fetch_object()) {
	echo $row->id_produto;
	echo '<br />';
	echo $row->imagem;
	echo '<hr />';
}

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • landerbadi
      Consulta SQL dentro de outra consulta
      Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, ativo. Nela tem cadastrado vários itens. No campo ativo eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "produtos" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, mesa, moto 2, mesa, casa, cama 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela produtos da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "mesa". Preciso fazer com que o php me liste todos os registros da tabela "produtos" que contenham a palavra "mesa". Até aqui tudo bem eu consigo listar. Estou fazendo assim: <?php $item = "mesa" $sql = mysqli_query($conn, "SELECT * FROM produtos WHERE item1 LIKE '$item' OR item2 LIKE '$item' OR item3 LIKE '$item' LIMIT 10"); while($aux = mysqli_fetch_assoc($sql)) { $id = $aux["id"]; $item1 = $aux["item1"]; $item2 = $aux["item2"]; $item3 = $aux["item3"]; echo $id . " - " . $item1 . ", " . $item2 . ", " $item3 . "<br>"; } ?> O problema é que está listando todos os registros que contém o item mesa. Eu preciso que o php verifique os demais item e me liste somente os registro em que todos os registros estejam ativos no sistema. No exemplo acima ele não deveria listar o registro 3. pois nesse registro contém o item "radio" e este item não está ativo no sistema. Ou seja, o registro "radio" na tabela itens não possui um "S" na coluna "ativo". Alguém sabe como resolver isso?
    • First
      Sistema não funciona corretamente
      Por First
      Olá a todos!
       
      Eu estou criando um sistema do zero mas estou encontnrando algumas dificuldades e não estou sabendo resolver, então vim recorrer ajuda de vocês.
      Aqui está todo o meu código: https://github.com/PauloJagata/aprendizado/
       
      Eu fiz um sistema de rotas mas só mostra o conteúdo da '/' não sei porque, quando eu tento acessar o register nada muda.
      E eu também quero que se não estiver liberado na rota mostra o erro de 404, mas quando eu tento acessar um link inválido, nada acontece.
      Alguém pode me ajudar com isso? E se tiver algumas sugestão para melhoria do código também estou aceitando.
       
       
      Desde já, obrigado.
    • landerbadi
      Saber se todos os produtos de uma consulta estão cadastrados no banco de dados
      Por landerbadi
      Olá pessoal, boa tarde
       
      Tenho uma tabela chamada "produtos" com os seguintes campos (id, produto) e outra tabela chamada "itens" com os seguintes campos (id, prod_01, prod_02, prod_03, prod_04).
       
      Na tabela produtos eu tenho cadastrado os seguintes produtos: laranja, maçã, uva, goiaba, arroz, feijão, macarrão, etc.
       
      Na tabela itens eu tenho cadastrado os itens da seguinte maneira:
       
      1, laranja, uva, arroz, feijão;
      2, maçã, macarrão, goiaba, uva;
      3, arroz, feijão, maçã, azeite
       
      Meu problema é o seguinte: 
      Eu escolho um produto da tabela "produtos", por exemplo "uva".  Preciso fazer uma consulta na tabela "itens" para ser listado todos os registros que contenham o produto "uva" e que todos os demais produtos estejam cadastrados na tabela "produtos".
       
      No exemplo acima seria listado apenas dois registros, pois o terceiro registro não contém o produto "uva". 
       
      Alguém pode me ajudar? Pois estou quebrando a cabeça a vários dias e não consigo achar uma solução.
    • landerbadi
      Fazer busca no Banco de dados usando vários critério
      Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, plural, ativo. Nela tem cadastrado vários itens e seu respectivo plural. No campo ativo eu coloco a letra "S" para informar que esta palavra está ativa no sistema. Por exemplo: 1, casa, casas, S 2, mesa, mesas, S 3, cama, camas, S 4, moto, motos, S 5, rádio, rádios O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "variações" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, camas, moto 2, mesas, casas, radio 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela variações da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "casa". Preciso fazer com que o php me liste todos os registros da tabela "variações" que contenham a palavra "casa". Porém se tiver algum registro com a palavra "casas" também tem que ser listado. Neste caso ele irá encontrar dois registros. Agora eu preciso que o php verifique os demais itens e faça a listagem apenas dos item que estão ativos (que contenham um "S" no campo ativo. Neste caso ele irá encontrar apenas um registro, pois o segundo registro contém a palavra "rádio". E "rádio" não está ativo na tabela itens. Como faço isso?
    • ILR master
      Consulta em duas tabelas
      Por ILR master
      Fala pessoal.
       
      Seguinte:
       
      Quero selecionar duas tabelas e mostrar com resultados intercalados. Abaixo segue um código explicando para vcs terem uma ideia.
       
      $consulta = "SELECT A.*, B.* FROM tabela1 A, tabela2 B'";
      $resultado = mysqli_query($conexao, $consulta) or die ("erro");
      while($busca = mysqli_fetch_array($resultado)){
       
      print $busca['cod_evento']; --> traz o código da tabela1 
      print $busca['titulo_evento']; -->  traz o titulo da tabela1
      print $busca['cod_noticia']; --> traz o código da tabela2
      print $busca['titulo_noticia']; --> traz o tituloda tabela2
       
      }
       
      Espero que entendam. Grato
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito