Vypis z MySQL a spracovanie php scriptu v tabulke

Ako nato? Co sa tyka vytahovania dat z mysql som uplny laik, dnes som nieco skusal a podarilo sa mi vytiahnut z prveho zaznamu v tabulke nejake data. No a moja otazka je ako na vytiahnutie dat z tabulky, resp. toho prveho zaznamu nejaky php script napriklad <?php echo 'test'; ?> a naslednom spracovani po vytiahnut...

Pokial ten PHP skript mas vytiahnuty z DB, mozes ho spustit eval()om. Eval ocakava uz PHP skript, teda ak mas toto:
Pouzi to takto:

Otazka je, naco je to dobre takto riesit a ci nie je lepsi sposob.

Ak chceš spraviť to, čo píše Ďuri, tak to rýchlo zastav. skripty do databázy nepatria.

Chcel by som do databazy natlacit texty a mam medzi textami par jednoduchych php skriptov ktore zobrazuju nieoc nahodne, ci pocitaju a to by som chcel tiez nechat medzi tym textom jedna sa o cisto jednoduchu stranku, vid profil...

To nie je dobrý nápad.

Preco? chcel by som si k tomu spravit nejaku light administraciu ale pred tym chcem vyriesit tento problem...

Vkladať do DB scripty je hlúposť ... V DB sa uchovávajú dáta. Tebe ide asi to, že niekto niekde klikne tak ty mu podľa toho čo chcel vyberieš z DB stránku.

Ono toto riešenie, je až také neobvyklé, že ho považujem za nesprávne, lebo riešiť administráciu, alebo úpravy pri tomto spôsobe môže byť ako nebezpečné, tak nezmyselné.

Mozno sa nechapeme oco mi ide....

podla mna to nie je nespravne, ale urcite netvrdim, ze to je najspravnejsie skripty nie su data alebo co? co myslis, ako to riesia cms systemy? tiez umoznuju vkladat do sablon ulozenych v db php kod... keby to bola hlupost, tak tam ta moznost predsa nie je...

No tak potom to sú asi slabé CMS pretože každý seriózny človek vie, že v momente keď z DB robíš eval, vzniká isté nebezpečenstvo ...

Drupal ma moznost pridat do db php script a nezda sa mi ako slaby cms preto si myslim ze to az tak nechutne nemoze byt

su to slabe cms? sry, ale nebud smiesny... takyto argument neobstoji... hmm, ake nebezpecenstvo? si nezdravo paranoidny

Som realista. Ak sa nemýlim tak phpBB do DB nedáva PHP, a ten považujem za celkom slučný CMS. Keby do DB dával PHP kód taký Wordpress veľmi ma to neprekvapí.

Stenley: Ak by sa útočníkovy podarilo akýmkoľvek spôsobom vložiť ľubovoľný PHP kód do DB, už to by znamenalo obrovskú zraniteľnosť ... Mohol by si robiť prakticky čokoľvek. (Na JanoFovej stránke to nebude ale uvediem príklady) Mohol by si kradnúť session, zrušiť stránku, vyhodiť databázu, a pod.

To nikto netvrdi ze sa to nemoze stat, ale stane sa ze potrebujes v nejakom clanku trebars vyuzit aj nejaky jednoduchy php script, akym sposobom toto zneuzijes? Nikto nevravi ze mas do tabulky dat nejaky obludny php script ktory bude robit neviem co...

a inac sme trosku odbocili od mojho problemu

aky je podla teba rozdiel, ak sa utocnik dostane do db a ked ziska pristup na ftp? to akoze zakazat vykonavat php skripty ulozene na serveri, lebo ich moze utocnik zneuzit? osobne v tom rozdiel nevidim, tak preco zakazovat php prikazy v db? to je z tohto pohladu nelogicke, nezda sa ti? ale ked si to uz nacal... ak sa utocnik dostane do db, skor ti tam supne nejaky skodlivy js, ako php kod... a v podstate, vtedy je uz vsetko jedno, samozrejme, ak system neosetruje data ziskane z db...

No tak keby ošetroval ten kód tak sa mu PHP skript nespracuje. Neviem ja keď mám tú možnosť využiť všetky funkcie PHP, tak JS by bola iba súčasť.

Aký je rozdiel? Tak keď si na PHP, tak teoreticky môžeš pristupovať ku scriptom tak ako cez FTP (samozrejme nie úlne), ale okrem toho môžeš ovplyvňovať výstupy, databázy a pod.

// Samozrejme, že JanoFovi sa tam nebude 500 ľudí denne snažiť prekonať zabezpečenie (ak nejaké ovšem bude), ale ide o princíp. Podľa mňa dávať akýkoľvek script do DB nie je správne (a preto sme podľa môjho názoru od témy neodbočili). Uveď(te) príklad takéhoto malého scriptu, aby som bol v obraze.

Na stranke mam trebars php script na zistovanie ci mam zapnute pc alebo nie, naco to oddelovat od celeho kontextu, ked to mozem mat v db vsetko po kope...

keby som neuviedol osetrovanie dat z db, tak ti to ani nenapadne, lebo verim ze drviva vacsina "programatorov" to vobec nekontroluje...

nepochopil si ma, nechcel som od teba, aby si mi napisal rozdiel, ale to, ci nie je predsa len jedno, ak je php kod v klasickych suborch a ked je v db (z pohladu zranitelnosti)... lebo ci sa dostane utocnik do db alebo na ftp, vzdy moze upravit zdrojak...

ked si zastanca nepridavania php kodu do db, nie je jedno, aky kod tam chce jano pridat? mas totiz trosku rozchodne nazory, na jednej strane to povazujes za hlupost a na druhej zas posudzujes spravnost pridavania/nepridavania na zaklade "zlozitosti" kodu...

Zabezpečené (proti xss) CMS nepovolia ani html okrem <b> a podobne, pre toto vznikli bb značky. Nezabezpečené CMS povolia akékoľvek html aj s javascriptom. Ale čo by potom boli cms, ktoré berú php? To už je fakt extrém. php v databáze proste nemá čo robiť. Ak potrebuješ dávať php do článkov alebo do čoho, volil by som cestu hardcodovania. Do cmska sa ti dostane hocikto, ani nevieš ako.

osobne pouzivam cms, kde je mozne nastavit typ sablony, tj. ci je to ciste html, xml, css, aktivovane php, ... dalsia uroven je povolenie len "bezpecnych" tagov/prikazov pripadne dalsie odstupnovanie... takto si (z tohto pohladu) predstavujem kvalitne cms, kde nepotrebujem menit jeho zdrojovy kod, ked tam chcem pridat nieco, s cim povodne nepocital... naopak, ak zmenim zdrojak cmska, co sa stane, ak budem chciet spravit upgrade? a o tom to cele je...


nad tymto sa mozem len pousmiat...

Predpokladám, že JanoF nie je asi high-end programátor. Tým pádom môže mať kdekoľvek xss. A keď máme xss, nie je problém spraviť keylogger alebo čisto vypýtanie si hodnoty polí s id username a password. Rovnako si môžem zistiť cookies.

xss je tak bežná vec, že sa nájde aj na stránkach skutočných makačov, tak nevidím dôvod, aby nebol aj na tej janovej stránke.

asi si este nevidel janovu stranku ale o to teraz nejde... doteraz si ale nepodlozil riadnymi argumentami tvoje tvrdenie, ze php kod do db nepatri... preco to teda tvrdis a povazujes to za jedenaste prikazanie? stale pises, ze "ak", to iste mozem tvrdit aj ja, ze "ak" sa niekto dostane na ftp, moze spravit taku istu skodu (ak nie vacsiu), ako ked sa dostane do db... a aj napriek tomu nikde netvrdim, ze php kod nesmie byt na ftp... nie je teda jedno (z tohto pohladu), kde je ten kod umiestneny? odpoved na tuto otazku nech si da kazdy sam...

tak odhliadnuc od bezpečnosti (tá sa na Slovensku moc nenosí), sú tu ešte dve veci, ktoré mi len tak napadli:
1. db = databáza. Všimni si tú časť slova "data".
2. výkon. Keď je skript na disku, môže si s tým php robiť čo uzná za vhodné, napr. nacachovať. Ale keď to budeš ťahať z db, je to vždy nový skript.

heh, vsetko, co ulozis do db su istym sposobom data, udaje, informacie, nech si to nazveme akokolvek, "vzdy" su to v konecnom dosledku len nuly a jednicky... ked si uz spomenul to cachovanie, je to samozrejme kvoli vykonu, ale nie kazdy to pouziva a nie vzdy je to to prave orechove... ak to teda nepotrebujem, nemozem pouzivat php v db? vidis, vzdy je tu to "ak"...

aby sme sa chapali, ja netvrdim, ze ukladanie php kodu do db je najspravnejsie, ale ked uz na to pride, nebudem predsa tvrdit, ze sa to nesmie, ze to je blbost a podobne silacke reci, ktore mimochodom o niecom svedcia...

Stenley máš pravdu sú to dáta, máš pravdu v tom čo hovoríš, ale ide presne o to, že prečo nepoužívame napr tág font, alebo ešte lepšie framy. Ty to samozrejme môžeš použiť, ale proste sa to nerobí. Ty môžeš na čierne pozadie dať tmavosivý text, alebo na modré pozadie, dať zelený text ... ale sa to nerobí. Tak isto môžeš dávať php do databáza, môžeš to aj zabezpečovať neviem ako, ale sa to nerobí .. je to trošku proti logike. A keď si to nezabezpečíš, tak to je to "blbosť"

Samozrejme soi skúsenejší než ja, vieš svoje, ale nejaký kvalitný systém, a JanoFová stránka, to sa nedá porovnávať. Neviem si reálne predstaviť, že by Jano, v jednom článku (a to tam nemá žiadne články) spúšťal nejaký PHP v druhom nejaký iný ... Myslím, si že na to ide zle ...preto by som to nerobil. Zmysel by to malo jedine vtedy, ak by mal systém wikipedie, a vo výnimočných prípadoch by si potreboval uložiť nejakú informácie, ale aj tak neviem, čo je také echt, že sa to pchá aj do DB.

"sa to nerobi"... kde sa to nerobi? kto to nerobi? je to nejaky vseobecne uznavany "standard"?

tuto nekonecnu diskusiu by som ukoncil asi tak, ze ak ta niekto nauci, ze trava je cervena a zrazu ti niekto zacne tvrdit, ze je v skutocnosti zelena, tak ho budes presviedcat o opaku

no neviem, ale skús mi ukázať dobrý príklad, kto kde používa php skripty v databáze

uz som to pisal, dobrym prikladom je cms...

Vedeli by ste mi dat nejaky priklad ako teda vytiahnut z db data ktore prejdu cez ten eval a spracuje sa to aj s php scriptami co budu tam. Skusam to, ale ako vidim tak vedomosti nato este nemam o-)))

Tak hod sem, co mas a opravime chyby malo by to byt nieco v tomto zmysle:
Nemam to otestovane.