Repareer die SQL-injectie
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);
$sql = "INSERT INTO table1 VALUES ('username','password');
// You must quote your $vars ^ ^ ^ ^ like this
// or syntax errors will occur and the escaping will not work!.
Merk op dat het opslaan van niet-gecodeerde wachtwoorden in een database een kardinale zonde is.
Zie hieronder hoe u dit kunt oplossen.
Triggers staan geen parameters toe
Je hebt alleen toegang tot de waarden die je zojuist in de tabel hebt ingevoegd.
De trigger voor Invoegen heeft een dummy-tabel new
hiervoor.
De Delete-trigger heeft een dummy-tabel old
om de waarden te zien die moeten worden verwijderd.
De Update-trigger heeft zowel old
en new
.
Verder heb je geen toegang tot externe gegevens.
DELIMITER $$
//Creates trigger to insert into table1 ( logs ) the userid and patientid ( which has to come from php )
CREATE
TRIGGER ai_table1_each AFTER INSERT ON `baemer_emr`.`table1`
FOR EACH ROW
BEGIN
INSERT INTO table2 VALUES (NEW.idn, NEW.username, NEW.patientid);
END$$
De oplossing
Maak een blackhole-tabel.
Blackhole-tabellen om niets op te slaan, hun enige reden van bestaan is voor replicatiedoeleinden en u kunt er dus triggers aan koppelen.
CREATE TABLE bh_newusers (
username varchar(255) not null,
password varchar(255) not null,
idn integer not null,
patient_id integer not null,
user_id integer not null) ENGINE = BLACKHOLE;
Voeg vervolgens gegevens in de blackhole-tabel in en verwerk die met behulp van een trigger.
CREATE
TRIGGER ai_bh_newuser_each AFTER INSERT ON `baemer_emr`.bh_newuser
FOR EACH ROW
BEGIN
DECLARE newsalt INTEGER;
SET newsalt = FLOOR(RAND()*999999);
INSERT INTO users (username, salt, passhash)
VALUES (NEW.username, newsalt, SHA2(CONCAT(newsalt, password), 512));
INSERT INTO table2 VALUES (NEW.idn, NEW.username, NEW.patient_id);
END$$
Opmerkingen over de trigger
U mag wachtwoorden nooit in een open database opslaan.
Sla ze altijd op als een gezouten hash met de veiligste hashfunctie (momenteel SHA2 met een sleutellengte van 512) , zoals weergegeven in de trigger.
Je kunt testen of iemand het juiste wachtwoord heeft door het volgende te doen:
SELECT * FROM user
WHERE username = '$username' AND passhash = SHA2(CONCAT(salt,'$password'),512)
Links
http://dev.mysql .com/doc/refman/5.0/en/blackhole-storage-engine.html
http://dev.mysql.com /doc/refman/5.0/en/create-trigger.html
Gehashte wachtwoorden opslaan in MySQL
Hoe werkt de SQL-injectie van de "Bobby Tables" XKCD stripwerk?