DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Ik zei dat mysql_real_escape_string in dit geval helemaal niks helpt.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ik snap niet helemaal wat de schrijver van die tekst bedoelt. In onderstaande voorbeeld bewijst hij juist toch dat je ze wel moet gebruiken?quote:Op maandag 14 februari 2011 15:43 schreef remi1986 het volgende:
[..]
Backticks gebruik ik nooit
http://www.pfz.nl/wiki/backticks/
Tenzij hij bedoelt dat je geen reserved words als kolomnamen moet gebruiken, maar dan nog maakt het niet uit als je backticks gebruikt.quote:Maar het kan nog veel erger. Gereserveerde woorden hebben in SQL een betekenis. Woorden zoals DELETE en DROP hebben zelfs een gevaarlijke betekenis.
SELECT
`delete`
FROM
tabel;
Dit selecteert de kolom 'delete' uit de tabel.
SELECT
delete
FROM
tabel;
Zonder backticks selecteert dit de uitkomst van de DELETE query die zojuist je tabel heeft geleegd.
Ik vind backticks altijd wel duidelijk, dan worden kolomnamen ook meteen ge-highlight als je een query in phpmyadmin uitvoert.
Op donderdag 2 juli 2009 22:41 schreef RTB het volgende:
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
Ik denk dat de schrijver bedoelt dat als je ze nooit gebruikt, je ook geen fouten kan maken met gereserveerde namen. Als ik een database maak, doe ik dat niet door alles één voor één in te voeren in phpmyadmin. Ik maak daar een PHP script van.
Probeer maar eens in phpmyadmin
Dit zal niet goed gaan, aangezien group een reserved name is.
werkt dan weer wel...
Wat ik eigenlijk niet snap is waarom mysql_real_escape_string niet zou werken als je geen backticks gebruikt?
Probeer maar eens in phpmyadmin
| 1 2 3 4 | CREATE TABLE group ( 'group' INT NOT NULL , 'tekst' INT NOT NULL ) ENGINE = MYISAM |
Dit zal niet goed gaan, aangezien group een reserved name is.
| 1 2 3 4 | CREATE TABLE group1 ( 'group1' INT NOT NULL , 'group2' INT NOT NULL ) ENGINE = MYISAM |
werkt dan weer wel...
Wat ik eigenlijk niet snap is waarom mysql_real_escape_string niet zou werken als je geen backticks gebruikt?
Je had deze query:
Ik kan nu kolomnaam kiezen als: extrazooi INT NOT NULL, waaaaa
daar doet mysql_real_escape_string niets tegen.
| 1 | ALTER TABLE tabelnaam ADD ".$kolomnaam." VARCHAR( 3 ) DEFAULT 'o' NOT NULL |
daar doet mysql_real_escape_string niets tegen.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ik ben ook voor backticks, maar de comma kun je het beste vooraan zetten (al doe ik dat zelf amper) om dan zeker te weten (snel zichtbaar) of je een , mist 
Just say hi!
Remy1986...als je zegt dat dit werkt..leg me het volgende dan eens uitquote:De reden waarom je $kolomnaam krijgt, is omdat je gewoon $kolom in de string hebt staan. Als je de waarde van een php variabele wil, doe je
[code]ALTER TABLE tabelnaam ADD ".$kolomnaam." VARCHAR( 3 ) DEFAULT 'o' NOT NULL " ; [/code]En wat ik zelf altijd doe, als extra veiligheid is PHP variablen escapen met mysql_real_escape_string().
dit werkt wel, kolom zooi wordt aangemaakt
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | <?php ini_set('display_errors', 'On'); error_reporting(E_ALL); $con = mysql_connect("localhost","login",""); if (!$con) { die('Could not connect: ' . mysql_error()); } mysql_select_db("login", $con); $id = "zooi"; $commando="ALTER TABLE optredens_gebruikers ADD ".$id." VARCHAR( 3 ) DEFAULT 'o' NOT NULL " ; mysql_query($commando); mysql_close($con); ?> |
maar dit niet..terwijl de echo van $bla goed is
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 | <?php ini_set('display_errors', 'On'); error_reporting(E_ALL); $con = mysql_connect("localhost","login",""); if (!$con) { die('Could not connect: ' . mysql_error()); } mysql_select_db("login", $con); $datum=$_POST['datum']; $dagdeel=$_POST['dagdeel']; $wat=$_POST['wat']; $waar=$_POST['waar']; $sql="INSERT INTO optredens(datum, dagdeel, wat, waar) VALUES ('$datum','$dagdeel','$wat','$waar')"; mysql_query($sql); // Formulier succes! echo '<p>Je hebt het optreden succesvol toegevoegd!</p>'.'<br />'; echo " Datum: $datum <br />"; echo " Dagdeel: $dagdeel<br />"; echo " Wat: $wat<br />"; echo " Waar: $waar<br />"; $bla = mysql_insert_id(); echo $bla; $id = $bla; $commando="ALTER TABLE optredens_gebruikers ADD ".$id." VARCHAR( 3 ) DEFAULT 'o' NOT NULL " ; mysql_query($commando); echo "1 record added"; mysql_close($con); ?> |
Weet je zeker dat $bla goed is? Wat geeft die voor waarde dan?
In de tabel van optredens, heb je daar een auto_increment field? Dan zou het goed moeten gaan....
Doe eens
Krijg je een foutmelding?
[ Bericht 45% gewijzigd door remi1986 op 15-02-2011 10:55:14 ]
In de tabel van optredens, heb je daar een auto_increment field? Dan zou het goed moeten gaan....
Doe eens
| 1 2 3 | <?php $query=mysql_query($commando) or die(mysql_error()); ?> |
Krijg je een foutmelding?
[ Bericht 45% gewijzigd door remi1986 op 15-02-2011 10:55:14 ]
glowmouse..ik weet het..maar ik wil het gewoon ff uitproberen
is ook om te leren wat wel en niet kan.. sorry..maar kun je me wel uitleggen waarom het ene wel werkt en het andere niet
en jaaaahaa..ik weet dat het niet mag
is ook om te leren wat wel en niet kan.. sorry..maar kun je me wel uitleggen waarom het ene wel werkt en het andere niet
en jaaaahaa..ik weet dat het niet mag
Je zult wel backticks moeten gebruiken bij een numerieke kolomnaam.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
is goed...de waarde komt van een auto_incrementquote:Weet je zeker dat $bla goed is? Wat geeft die voor waarde dan?
In de tabel van optredens, heb je daar een auto_increment field? Dan zou het goed moeten gaan....
bijv 121
testje zal ik later doen..vergadering..en ik ben al te laat..shit
Daar waar ik nooit numerieke waarden als kolomnaam zou gebruiken heeft GlowMouse gelijk. Je moet daarvoor wel backticks gebruiken.quote:
[..]
is goed...de waarde komt van een auto_increment
bijv 121
testje zal ik later doen..vergadering..en ik ben al te laat..shit
Zou ik toch een koppeltabel gebruiken. Want hier krijg je een heel onoverzichtelijke database van.
MrNiles, wat begrijp je hier niet aan?
quote:
[..]
Een database is geen spreadsheet!
je kunt gewoon twee kolommen maken, <naam> | <datum_aanwezig>. Dat is toch genoeg?
Misschien wil hij zeker weten dat niemand per ongeluk een JOIN in zijn applicatie bouwt?
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ik zou hier eens zon voorstel voor een databasestructuur moeten maken, waar ik op deze manier kolommen wil toevoegen. Denk dat ik dan op zoek kan naar ander werk 
misschien iets voor over 6 weken en 3 dagen?
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
quote:
Ik zou hier eens zon voorstel voor een databasestructuur moeten maken, waar ik op deze manier kolommen wil toevoegen. Denk dat ik dan op zoek kan naar ander werk
Ik begreep die alter table ook al niet . 
De consistency van je hele database gaat eraan! 
. en duidelijkheid van gegevens is dan ver te zoeken.
Redacted
ik snap het wel...over het aanpassen van de database..en dat het geen spreadsheet is
en ik begrijp ook dat het op een andere manier moet..en dat ga ik ook doen
maar ik was gewoon nieuwsgierig waarom het ene wel lukt en het andere niet...de verklaring dat dat komt omdat het numeriek neem ik meteen voor waarheid aan...
case closed....
en ik begrijp ook dat het op een andere manier moet..en dat ga ik ook doen
maar ik was gewoon nieuwsgierig waarom het ene wel lukt en het andere niet...de verklaring dat dat komt omdat het numeriek neem ik meteen voor waarheid aan...
case closed....
Daarom mijn tip aan jou schrijf het in jip en janneke taal op zodat je laat weten wat je wil.quote:
ik snap het wel...over het aanpassen van de database..en dat het geen spreadsheet is
en ik begrijp ook dat het op een andere manier moet..en dat ga ik ook doen
maar ik was gewoon nieuwsgierig waarom het ene wel lukt en het andere niet...de verklaring dat dat komt omdat het numeriek neem ik meteen voor waarheid aan...
case closed....
(pseudo code).
Redacted
mail komt later deze middagquote:Daarom mijn tip aan jou schrijf het in jip en janneke taal op zodat je laat weten wat je wil. (pseudo code).
ff iets anders...weet niet of dit überhaupt mogelijk is, maar jullie zijn slim 
.
Ik heb voor het gemak 2 select boxen. Aan de hand van de eerste, wordt de tweede gevuld met AJAX (waarden uit database).
Is het mogelijk om binnen de AJAX functie te controleren of het een AJAX call is? Met firebug kan je precies zien welk bestand er aangeroepen wordt, en wil dan indien mogelijk afschermen met een controle. Of misschien een suggestie hoe jullie dat zouden doen (of niet )
.Ik heb voor het gemak 2 select boxen. Aan de hand van de eerste, wordt de tweede gevuld met AJAX (waarden uit database).
Is het mogelijk om binnen de AJAX functie te controleren of het een AJAX call is? Met firebug kan je precies zien welk bestand er aangeroepen wordt, en wil dan indien mogelijk afschermen met een controle. Of misschien een suggestie hoe jullie dat zouden doen (of niet
)
Nee, dat is niet waterdicht te maken aangezien het om user-input gaat.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ik kwam dit nog tegen:
Zou dat ook niet werken?
| 1 2 3 | <?php if (isset($_SERVER["HTTP_X_REQUESTED_WITH"]) && $_SERVER["HTTP_X_REQUESTED_WITH"] == "XMLHttpRequest") ?> |
Zou dat ook niet werken?
