Het is essentieel om gebruikersinvoer te valideren en te ontsmetten om SQL-injectieaanvallen te voorkomen. Hier zijn de beste praktijken: 1. Gebruik voorbereide instructies (prepared statements) en parameterbinding: - Voorkeur: Gebruik PDO of MySQLi met parametergebonden queries. - Voorbeeld met PDO: ```php $stmt = $pdo->prepare("SELECT * FROM gebruikers WHERE gebruikersnaam = :naam"); $stmt->bindParam(':naam', $gebruikersnaam, PDO::PARAM_STR); $stmt->execute(); ``` - Hiermee worden invoerwaarden niet rechtstreeks in de SQL-string geplaatst, maar apart behandeld, waardoor SQL-injectie wordt voorkomen. 2. Valideer gebruikersinvoer: - Controleer of de invoer voldoet aan het verwachte formaat (bijvoorbeeld numeriek, e-mail, specifieke tekens). - Gebruik functies zoals `filter_var()`: ```php if (filter_var($email, FILTER_VALIDATE_EMAIL)) { // Geldige e-mail } ``` - Of reguliere expressies voor complexere validaties. 3. Ontsmet invoer: - Hoewel voorbereid statements voldoende zijn voor SQL-injectiepreventie, is het altijd goed om invoer te ontsmetten voor andere doeleinden (bijvoorbeeld HTML-output) met functies als `htmlspecialchars()`. 4. Beperk invoer: - Stel limieten aan de lengte van invoer. - Sta alleen toegestane tekens toe als dat mogelijk is. 5. Vermijd dynamische query's: - Gebruik nooit gebruikersinvoer direct in query's zonder ontsmetting of parameterbinding. Samenvatting: - Gebruik altijd prepared statements met parameterbinding om invoer te scheiden van SQL-code. - Valideer invoer op het verwachte formaat. - Ontsmet voor weergave of andere doeleinden. - Vermijd het direct opnemen van gebruikersinvoer in SQL-query's. Door deze methoden toe te passen, minimaliseer je het risico op SQL-injectie en verhoog je de veiligheid van je PHP-toepassing.

Zeker, ik help je graag met het beveiligen van je PHP-script tegen SQL-injecties. Hier is een uitgebreide uitleg in het Nederlands: ### 1. Basisprincipes van invoerbeveiliging - **Validatie**: Controleer of de invoer voldoet aan verwachte criteria (bijv. formaat, type, lengte) - **Sanitatie**: Verwijder of escape potentieel schadelijke karakters - **Gebruik voorbereide statements**: De meest cruciale verdediging tegen SQL-injectie ### 2. Validatie van gebruikersinvoer ```php $gebruikersnaam = $_POST['gebruikersnaam']; $email = $_POST['email']; // Validatie voorbeeld if (empty($gebruikersnaam) || strlen($gebruikersnaam) > 50) { die("Ongeldige gebruikersnaam"); } if (!filter_var($email, FILTER_VALIDATE_EMAIL)) { die("Ongeldig e-mailadres"); } ``` ### 3. Sanitatie van invoergegevens ```php // Basis sanitatie $veilige_naam = htmlspecialchars($gebruikersnaam, ENT_QUOTES, 'UTF-8'); $veilige_email = filter_var($email, FILTER_SANITIZE_EMAIL); ``` ### 4. Voorbereide statements met PDO (Aanbevolen) ```php try { $pdo = new PDO("mysql:host=localhost;dbname=jouw_database", "gebruiker", "wachtwoord"); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // Voorbereide statement $stmt = $pdo->prepare("SELECT * FROM gebruikers WHERE gebruikersnaam = :naam AND email = :email"); // Parameters binden $stmt->bindParam(':naam', $gebruikersnaam, PDO::PARAM_STR); $stmt->bindParam(':email', $email, PDO::PARAM_STR); // Uitvoeren $stmt->execute(); // Resultaat ophalen $resultaat = $stmt->fetchAll(PDO::FETCH_ASSOC); } catch(PDOException $e) { echo "Fout: " . $e->getMessage(); } ``` ### 5. Voorbereide statements met MySQLi ```php $mysqli = new mysqli("localhost", "gebruiker", "wachtwoord", "database"); // Controleren op connectiefouten if ($mysqli->connect_error) { die("Connectie mislukt: " . $mysqli->connect_error); } // Voorbereide statement $stmt = $mysqli->prepare("INSERT INTO gebruikers (naam, email) VALUES (?, ?)"); $stmt->bind_param("ss", $naam, $email); // "ss" geeft aan: twee strings // Variabelen toewijzen en uitvoeren $naam = $veilige_naam; $email = $veilige_email; $stmt->execute(); $stmt->close(); $mysqli->close(); ``` ### 6. Beste praktijken 1. **Gebruik ALTIJD voorbereide statements** - dit is de meest effectieve methode 2. **Nooit invoer direct in queries plaatsen** - vermijd string concatenatie 3. **Strikte validatieregels** - controleer type, lengte en formaat 4. **Principle of Least Privilege** - databasegebruiker moet minimale rechten hebben 5. **Foutafhandeling** - toon geen databasefouten aan gebruikers 6. **Whitelist-benadering** - sta alleen expliciet toegestane waarden toe ### 7. Extra beveiligingstips ```php // Databasefouten loggen maar niet tonen ini_set('display_errors', 0); error_reporting(0); // Character encoding instellen $pdo->exec("SET NAMES 'utf8'"); // Limieten instellen voor invoer if (strlen($input) > 255) { die("Invoer te lang"); } ``` ### Belangrijkste conclusie: **Voorbereide statements met parameterbinding zijn de enige echt veilige manier om SQL-injecties te voorkomen.** Validatie en sanitatie zijn aanvullende beveiligingslagen, maar vervangen voorbereide statements niet. Door deze methoden consistent toe te passen, maak je je PHP-applicatie veel weerbaarder tegen SQL-injectieaanvallen.