Ret den SQL-injektion
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);
$sql = "INSERT INTO table1 VALUES ('username','password');
// You must quote your $vars ^ ^ ^ ^ like this
// or syntax errors will occur and the escaping will not work!.
Bemærk, at lagring af ukrypterede adgangskoder i en database er en kardinalsynd.
Se nedenfor om, hvordan du løser det.
Triggere tillader ikke parametre
Du kan kun få adgang til de værdier, du lige har indsat i tabellen.
Indsæt-triggeren har en dummy-tabel new
til dette.
Slet-triggeren har en dummy-tabel old
for at se de værdier, der skal slettes.
Opdateringsudløseren har både old
og new
.
Udover det kan du ikke få adgang til eksterne data.
DELIMITER $$
//Creates trigger to insert into table1 ( logs ) the userid and patientid ( which has to come from php )
CREATE
TRIGGER ai_table1_each AFTER INSERT ON `baemer_emr`.`table1`
FOR EACH ROW
BEGIN
INSERT INTO table2 VALUES (NEW.idn, NEW.username, NEW.patientid);
END$$
Løsningen
Opret en sorthulstabel.
Sorthulstabeller for ikke at gemme noget, deres eneste grund til at eksistere er til replikeringsformål, så du kan vedhæfte triggere til dem.
CREATE TABLE bh_newusers (
username varchar(255) not null,
password varchar(255) not null,
idn integer not null,
patient_id integer not null,
user_id integer not null) ENGINE = BLACKHOLE;
Indsæt derefter data i sorthulstabellen, og bearbejd det ved hjælp af en trigger.
CREATE
TRIGGER ai_bh_newuser_each AFTER INSERT ON `baemer_emr`.bh_newuser
FOR EACH ROW
BEGIN
DECLARE newsalt INTEGER;
SET newsalt = FLOOR(RAND()*999999);
INSERT INTO users (username, salt, passhash)
VALUES (NEW.username, newsalt, SHA2(CONCAT(newsalt, password), 512));
INSERT INTO table2 VALUES (NEW.idn, NEW.username, NEW.patient_id);
END$$
Bemærkninger om udløseren
Du bør aldrig gemme adgangskoder i clear i en database.
Opbevar dem altid som en saltet hash ved hjælp af den sikreste hash-funktion (i øjeblikket SHA2 med en nøglelængde på 512) , som vist i triggeren.
Du kan teste for at se, om nogen har den korrekte adgangskode ved at gøre:
SELECT * FROM user
WHERE username = '$username' AND passhash = SHA2(CONCAT(salt,'$password'),512)
Links
http://dev.mysql .com/doc/refman/5.0/da/blackhole-storage-engine.html
http://dev.mysql.com /doc/refman/5.0/da/create-trigger.html
Lagring af hashed adgangskoder i MySQL
Hvordan fungerer SQL-injektionen fra "Bobby Tables" XKCD tegneseriearbejde?