Thanks voor de check, ik zal aanpassen. (Jij kunt dit overigens ook doen, je hebt rechten op GitHub.)quote:Op vrijdag 27 juni 2014 20:30 schreef Nattekat het volgende:
Ik heb nog even zitten rondkijken op de kwetsbaarheid van jouw server, het lijkt vanaf mijn oogpunt dat de sql-tabel read-only is, dat zit dus wel goed. Echter is jouw server kwetsbaar voor SQL-injections. Je kan het zelf uitproberen door naar http://fok.zevkiselim.nl/crew2.0/?type=user#id=1 OR 1=1 te gaan, de grafieken zullen elke rij uit de tabel tonen.
Ik heb nog geprobeerd om gegevens in die tabel te krijgen maar dat is dus niet gelukt. Toch is het een goed idee om de tabel 'gebruikers' te controleren op mijn fratsen
Je kan dit oplossen door in user-piechart en user-table in de sql code ". $id ." te veranderen naar "?" (zonder aanhalingstekens) en dan deze uit te voeren met $stmt->execute($id)
Hele code voor de volledigheid:
[ code verwijderd ]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | function selectUser(user_id) { $("#userselect").hide(); $("#userinfo").show(); $("#userid").show(); $("#userid").html(user_id); getUserById(user_id, function(output) { $("#username").html(output); }); drawItems(user_id); } function getUserById(user_id, callback) { $.post("index.php?do=get_user_by_id", {'user_id':user_id}, function(data) { callback(data); }); } |
Is de "Foutmelding-opgelost"-branch nog ergens voor nodig of kan ik 'm verwijderen?quote:
Hij mag weg.quote:Op dinsdag 1 juli 2014 12:38 schreef zarGon het volgende:
[..]
Is de "Foutmelding-opgelost"-branch nog ergens voor nodig of kan ik 'm verwijderen?
https://github.com/zarGon(...)Foutmelding-opgelost.
Verwijderd. .quote:
Jep. Ik heb net een nieuwe commit gedaan. Admin-gedeelte is erbij gekomen: http://fok.zevkiselim.nl/crew2.0/?admin=index.quote:Staan trouwens interessante namen in de userlist nu
Ik heb dit net even getest bij de user-piechart... Ik heb je code overgenomen en op de juiste plek geplakt. Het werkt niet, de overzichten verdwijnen. Wat zou het kunnen zijn?quote:Op vrijdag 27 juni 2014 20:30 schreef Nattekat het volgende:
Ik heb nog even zitten rondkijken op de kwetsbaarheid van jouw server, het lijkt vanaf mijn oogpunt dat de sql-tabel read-only is, dat zit dus wel goed. Echter is jouw server kwetsbaar voor SQL-injections. Je kan het zelf uitproberen door naar http://fok.zevkiselim.nl/crew2.0/?type=user#id=1 OR 1=1 te gaan, de grafieken zullen elke rij uit de tabel tonen.
Ik heb nog geprobeerd om gegevens in die tabel te krijgen maar dat is dus niet gelukt. Toch is het een goed idee om de tabel 'gebruikers' te controleren op mijn fratsen
Je kan dit oplossen door in user-piechart en user-table in de sql code ". $id ." te veranderen naar "?" (zonder aanhalingstekens) en dan deze uit te voeren met $stmt->execute($id)
Hele code voor de volledigheid:
[ code verwijderd ]
Ik kan nu pas hiermee aan de slag. Als ik vragen heb, hoor je ze wel. .quote:Op zaterdag 28 juni 2014 17:35 schreef bondage het volgende:
[ code verwijderd ]
Je moet dan echter in index nog wel even ervoor zorgen dat je een handler hebt welke $_GET['do'] == 'get_user_by_id' afhandelt, het daadwerkelijke id zit in de post $_POST['user_id']. Je kunt hier natuurlijk ook een los script voor schrijven en deze aanroepen, deze moet het ID omzetten naar een naam en deze echo'en. Niet vergeten de naam om te zetten naar entities.
Bovenstaande is wel de meest simpele methode. Het beste is om alles in een enkele call af te handelen en terug te geven als JSON, je kunt de data er dan uithalen via data.chart_data en data.user_name. Dit vereist echter een grote aanpassing aan je bestaande code.
Ik ga er vanavond naar kijkenquote:Op dinsdag 1 juli 2014 13:51 schreef zarGon het volgende:
Zijn een paar issues mee: https://github.com/zarGon(...)is/issues?state=open. Zie je hulp graag tegemoet mocht je kunnen helpen.
Is er nog een specifieke error code? In principe zou dit moeten werken.quote:Op dinsdag 1 juli 2014 14:21 schreef zarGon het volgende:
[..]
Ik heb dit net even getest bij de user-piechart... Ik heb je code overgenomen en op de juiste plek geplakt. Het werkt niet, de overzichten verdwijnen. Wat zou het kunnen zijn?
Cool!quote:
Nope, geen foutmelding op de pagina zelf. PHP-code lijkt/is goed. Ik vermoed dat de SQL-query niet helemaal goed is. Heb niet gekeken of het werkt met een handmatig ingevulde UserID, i.p.v. $id.quote:Is er nog een specifieke error code? In principe zou dit moeten werken.
Omdat je hebt aangegeven dat je deze repo wil watchen. Zie https://github.com/settings/notifications.quote:Op dinsdag 1 juli 2014 15:06 schreef Nattekat het volgende:
Is er een reden dat mijn mailbox overspoeld is met mailtjes van github?
Jup, precies 6.quote:Op dinsdag 1 juli 2014 15:12 schreef zarGon het volgende:
[..]
Omdat je hebt aangegeven dat je deze repo wil watchen. Zie https://github.com/settings/notifications.
Ik had niet door dat je telkens een mailtje zou krijgen. . Heb een commit gedaan en 6 issues ingeschoten; dat zullen je mailberichten zijn.
als je ? gebruikt in je query, moet je geen labels gebruiken in je bind_param functie. Tevens wordt die bind_param functie nu niet goed gebruikt (elke variabele moet in een nieuwe aanroep).quote:Op zaterdag 26 juli 2014 13:29 schreef zarGon het volgende:
Is er niemand hier die me kan helpen met issue 5 en 6? https://github.com/zarGon(...)is/issues?state=open.
Als die zijn opgelost kan er tenminste voor één subsite (forum) gegevens toegevoegd worden en heb ik weer een beetje motivatie om hieraan te werken.
1 2 3 4 5 | <?php $stmt->bind_param(1, $Rolafkorting, PDO::PARAM_STR); $stmt->bind_param(2, $Rolomschrijving, PDO::PARAM_STR); $stmt->bind_param(3, $PK, PDO::PARAM_STR); ?> |
1 2 3 | <?php $stmt->execute(array($Rolafkorting, $Rolomschrijving, $pk)); ?> |
Over welk bestand heb je het preciesquote:Op dinsdag 19 augustus 2014 22:56 schreef remi1986 het volgende:
En echt, html en php bij elkaar?
De tranen springen in mijn ogen als ik dit allemaal bekijk.
admin/edit.phpquote:Op dinsdag 19 augustus 2014 22:58 schreef Nattekat het volgende:
[..]
Over welk bestand heb je het precies
- Wellicht is het handig als je deel 1 doorleest.quote:Op dinsdag 19 augustus 2014 22:56 schreef remi1986 het volgende:
Tevens in dat edit bestand waarom wordt er ineens mysqli gebruikt? (regel 29)
En echt, html en php bij elkaar?
De tranen springen in mijn ogen als ik dit allemaal bekijk.
Ok, dat het er niet uit ziet moet ik ook wel toegevenquote:
ik ben denk ik sneller als ik van scratch af aan begin. Ik dacht ff snel die query voor je te fixen (zie paar berichten hierboven)quote:Op dinsdag 19 augustus 2014 23:04 schreef zarGon het volgende:
[..]
- Wellicht is het handig als je deel 1 doorleest.
- Voor het admingedeelte is http://www.killersites.co(...)records-with-mysqli/ gebruikt.
- Als ik de skills had, had ik het allang alleen in elkaar geflanst en had ik dit topic niet geopend.
- Mocht je het willen verbeteren kun je helpen door de code aan te passen en te verbeteren.
Het werkt, en daar gaat het mij in eerste instantie om. Dat het beter kan wéét ik.quote:Op dinsdag 19 augustus 2014 23:05 schreef Nattekat het volgende:
[..]
Ok, dat het er niet uit ziet moet ik ook wel toegeven
Had gehoopt dat het vanaf de OP van het eerste deel al duidelijk was wat mijn kunnen en doen was.quote:Maar ik denk dat vooral onervarenheid hier een rol speelt, volgens mij is Zargon echt een gigantische newbie (niet lullig bedoeld ) wat betreft het maken van software en is dit project ook een leercurve.
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |