DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
goeie, ff proberen!
- edit -
werkt prima zo!
Heb namelijk een winkelmandje, en de producten kwamen er door elkaar in... niet echt handig natuurlijk.
[ Bericht 79% gewijzigd door jeroen2497 op 04-01-2009 16:00:17 ]
- edit -
werkt prima zo!
Heb namelijk een winkelmandje, en de producten kwamen er door elkaar in... niet echt handig natuurlijk.
[ Bericht 79% gewijzigd door jeroen2497 op 04-01-2009 16:00:17 ]
't Is meer een html-ding, maar goed.
Als ik een waarde uit een database haal dit ik in een tekstbalk wil zetten, en daar staan quotes in, dan gaat het op html gebied mis.
Hoe fix ik dat? Is " de enige optie?
Als ik een waarde uit een database haal dit ik in een tekstbalk wil zetten, en daar staan quotes in, dan gaat het op html gebied mis.
| 1 2 3 | <input type="text" value="iets met "quotes" hier"> ?> |
Hoe fix ik dat? Is " de enige optie?
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Je zou het zo kunnen doen:quote:Op zondag 4 januari 2009 20:25 schreef wonderer het volgende:
't Is meer een html-ding, maar goed.
Als ik een waarde uit een database haal dit ik in een tekstbalk wil zetten, en daar staan quotes in, dan gaat het op html gebied mis.
[ code verwijderd ]
Hoe fix ik dat? Is " de enige optie?
| 1 |
Met htmlentities() convert PHP de quotes naar de HTML-code (en alle andere speciale karakters waarvoor een HTML-code bestaat). Dan heb je dit probleem niet meer.
Je zou ook de functie addslashes() kunnen gebruiken, dan worden de quotes geescaped met een slash en voorkom je dit probleem ook.
htmlentities() is wel de nettere oplossing van de twee.quote:Op zondag 4 januari 2009 20:30 schreef Tijn het volgende:
[..]
Je zou het zo kunnen doen:
[ code verwijderd ]
Met htmlentities() convert PHP de quotes naar de HTML-code (en alle andere speciale karakters waarvoor een HTML-code bestaat). Dan heb je dit probleem niet meer.
Je zou ook de functie addslashes() kunnen gebruiken, dan worden de quotes geescaped met een slash en voorkom je dit probleem ook.
Maar ik wil alleen de quotes doen. De rest wordt al voor gezorgd namelijk. En met htmlentities wordt het een zootje.
Slashes werkt niet in het htmlgedeelte (tenminste, toen ik het probeerde kapte hij het alsnog af na de quote).
Slashes werkt niet in het htmlgedeelte (tenminste, toen ik het probeerde kapte hij het alsnog af na de quote).
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Is htmlspecialchars() misschien wat je zoekt? Die zet maar een kleine subset van de hele HTML-specialchars set om.quote:Op zondag 4 januari 2009 21:17 schreef wonderer het volgende:
Maar ik wil alleen de quotes doen. De rest wordt al voor gezorgd namelijk. En met htmlentities wordt het een zootje.
Je zou zelf een functie kunnen schrijven die van dubbele quotes bijvoorbeeld HTML-entities of enkele quotes ofzo maakt. Dat zou ook je probleem moeten oplossen.
Hoe had je het toen gedaan?quote:Slashes werkt niet in het htmlgedeelte (tenminste, toen ik het probeerde kapte hij het alsnog af na de quote).
Gewoon met addslashes();
Ik vind het zo raar, je zou toch ook gewoon een tekstbalk moeten kunnen maken in puur html met een quote erin?
Ik vind het zo raar, je zou toch ook gewoon een tekstbalk moeten kunnen maken in puur html met een quote erin?
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Ik heb het net ff zelf geprobeerd en blijkbaar kun je in HTML geen slashes escapen. M'n browser print gewoon de slash en daarna stopt 'ie. Dus dan heeft addslashes() ook geen zin.quote:Op zondag 4 januari 2009 21:55 schreef wonderer het volgende:
Gewoon met addslashes();
Nee, dat kan niet. Je zult de HTML-code of een ander type quotes moeten gebruiken.quote:Ik vind het zo raar, je zou toch ook gewoon een tekstbalk moeten kunnen maken in puur html met een quote erin?
[ Bericht 1% gewijzigd door Tijn op 04-01-2009 22:43:04 ]
Dom. Nou ja, dan weet ik dat. Heb het nu "opgelost" met javascript omdat ik daar toch al mee bezig was, maar als het nog een keer voorkomt, zal ik het onthouden.
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Maar dan hebben bezoekers zonder Javascript dus een niet-werkende site?quote:Op zondag 4 januari 2009 22:37 schreef wonderer het volgende:
Dom. Nou ja, dan weet ik dat. Heb het nu "opgelost" met javascript omdat ik daar toch al mee bezig was, maar als het nog een keer voorkomt, zal ik het onthouden.
Ja. Maar dat hadden ze sowieso alquote:Op zondag 4 januari 2009 22:43 schreef Tijn het volgende:
[..]
Maar dan hebben bezoekers zonder Javascript dus een niet-werkende site?
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Dus nu valideert je HTML niet meer. Lekker handig debuggenquote:Op zondag 4 januari 2009 22:37 schreef wonderer het volgende:
Dom. Nou ja, dan weet ik dat. Heb het nu "opgelost" met javascript omdat ik daar toch al mee bezig was, maar als het nog een keer voorkomt, zal ik het onthouden.
Ik weet hetquote:Op zondag 4 januari 2009 23:50 schreef Roy_T het volgende:
[..]
Dus nu valideert je HTML niet meer. Lekker handig debuggen
Ik ben er ook niet blij mee, maar het is een site die maar door twee personen gebruikt wordt (ik en iemand anders) dus HEEL erg is het niet. Maar ik wilde het ook even weten voor als ik opnieuw tegen een vergelijkbaar probleem aanloop (huidige probleem is on the fly bewerken van tekst in een chatbox), bijvoorbeeld met een forum waar je de titel van een topic bij elk reply houdt of zo. Ik noem maar wat. Ik zal toch niet de enige zijn die tegen het probleem aanloopt.
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Maar zoveel moeite is het toch niet om htmlspecialchars() te gebruiken?quote:Op zondag 4 januari 2009 23:53 schreef wonderer het volgende:
Ik weet het
Ik ben er ook niet blij mee, maar het is een site die maar door twee personen gebruikt wordt (ik en iemand anders) dus HEEL erg is het niet.
Op de een of andere manier werkte het niet (je zag " staan in plaats van ") en ik heb tot nu toe geen tijd/zin gehad om uit te gaan zoeken waarom.quote:
[..]
Maar zoveel moeite is het toch niet om htmlspecialchars() te gebruiken?
"Pain is my friend. I can trust pain. I can trust pain to make my life utterly miserable."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
"My brain is too smart for me."
"We don't need no education." "Yes you do, you just used a double negative."
Kijk eens in je source. Ik gok op dubbel escapen, waardoor er & amp;quot; komt te staan.quote:Op maandag 5 januari 2009 00:44 schreef wonderer het volgende:
Op de een of andere manier werkte het niet (je zag " staan in plaats van ") en ik heb tot nu toe geen tijd/zin gehad om uit te gaan zoeken waarom.
edit: lekkere brakke escaping hier op Fok!, aangezien 'ie van & amp; gewoon "&" maakt.
Ik wil snel een lijstje van alle tijden tussen 0:00 en 24:00, met een half uur of kwartier er tussen
0:00
0:30
1:00
enz. Hoe kan ik dit makkelijk doen?
0:00
0:15
0:30
0:45
1:00
enz
0:00
0:30
1:00
enz. Hoe kan ik dit makkelijk doen?
0:00
0:15
0:30
0:45
1:00
enz
quote:Op maandag 5 januari 2009 16:45 schreef Flaccid het volgende:
Ik wil snel een lijstje van alle tijden tussen 0:00 en 24:00, met een half uur of kwartier er tussen
0:00
0:30
1:00
enz. Hoe kan ik dit makkelijk doen?
0:00
0:15
0:30
0:45
1:00
enz
| 1 2 3 4 5 6 7 8 9 10 11 | $teller = 0; for($i = 0; $i < 24; $i++) { for($j = 0; $j < 60; $ j+= 15) //of +=30 { $val[$teller] = "$i:$j"; $teller++; } } ?> |
zoiets
Met sprintf kun je voorloopnullen toevoegen.
| 1 2 3 4 5 6 7 8 | $val = array(); for($i=0; $i<24; $i++) { for($j=0; $j<60; $j+= 15) { $val[] = sprintf('%02.0f:%02.0f', $i, $j); } } ?> |
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Maar $i en $j zijn integers, geen floats. Dus kun je %02d gebruiken ipv %02.0f. Korter en duidelijkerquote:
Met sprintf kun je voorloopnullen toevoegen.
[ code verwijderd ]
| 1 2 3 4 5 | "<br>".$variabele."<br>" // of "<br>$variabele<br>" ?> |
welke is beter te gebruiken en waarom? hele discussie welke je kan gebruiken.
mij is de 1e geleerd. alleen het kan ook met de 2e waarom ? heeft het voordelen nadelen?
Redacted
ik gebruik de eerste; het schijnt sneller te zijn. je kunt voor een array ook echo("array-veld: {$array['veld']}");, maar ".$array['veld']." is sneller, is mij verteld. Ik weet het verder ook niet, maar er zit wel een beetje logica achter, want het is de normale manier, en die 2 "in-text" variabelen zijn denk ik een beetje van php alleen
en natuurlijk is het wel wat overzichtelijker, zeker als je met een zwart-wit editor werkt
mvg
Marco
en natuurlijk is het wel wat overzichtelijker, zeker als je met een zwart-wit editor werkt
mvg
Marco
Allebei even goed en voor zover ik weet ook even snel, maar gebruik in het eerste geval dan wel enkele quotes ipv dubbele quotes, aangezien dubbele quotes geen nut hebben wanneer je er geen $vars in zetquote:Op dinsdag 6 januari 2009 01:25 schreef cablegunmaster het volgende:
[ code verwijderd ]
welke is beter te gebruiken en waarom? hele discussie welke je kan gebruiken.
mij is de 1e geleerd. alleen het kan ook met de 2e waarom ? heeft het voordelen nadelen?
Ik dacht dat enkele quotes sneller zijn dan dubbele omdat PHP de inhoud van de quotes dan niet hoeft te parsen.quote:Op dinsdag 6 januari 2009 09:26 schreef Roy_T het volgende:
[..]
Allebei even goed en voor zover ik weet ook even snel, maar gebruik in het eerste geval dan wel enkele quotes ipv dubbele quotes, aangezien dubbele quotes geen nut hebben wanneer je er geen $vars in zet
Dat bedoelde ik met "maar gebruik in het eerste geval dan wel enkele quotes ipv dubbele quotes" (iets te impliciet misschien). Het klopt inderdaad dat enkele quotes sneller zijn. Het scheelt niet veel en zorgt niet voor een trage app, maar in het kader van "nette code" moet je imo enkele en dubbele quotes gebruiken waar ze voor verzonnen zijn (dus alleen dubbele quotes wanneer er iets in staat wat geparsed moet worden, zoals een $var of /n newline ofzo).quote:Op dinsdag 6 januari 2009 09:30 schreef Tijn het volgende:
[..]
Ik dacht dat enkele quotes sneller zijn dan dubbele omdat PHP de inhoud van de quotes dan niet hoeft te parsen.
Ik denk dat het eerste script waarbij het een merkbaar verschil in snelheid oplevert nog in deze reeks gepost moet worden.quote:
[..]
Ik dacht dat enkele quotes sneller zijn dan dubbele omdat PHP de inhoud van de quotes dan niet hoeft te parsen.
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
quote:Op dinsdag 6 januari 2009 01:25 schreef cablegunmaster het volgende:
[ code verwijderd ]
welke is beter te gebruiken en waarom? hele discussie welke je kan gebruiken.
mij is de 1e geleerd. alleen het kan ook met de 2e waarom ? heeft het voordelen nadelen?
Ik zou gaan voor het tweede, waarom zou je "dit" . $dat . "daar"; syntax gebruiken als dubbele quotes values expanden, wat dus gebeurd in "dit $dat daar";
Verder valt het snelheidsverschil echt mee tussen de ' en " bij het parsen. Zie Vraag over loginsysteem Je zal zien dat single quotes de ene keer sneller zijn dat de dubbele quotes en omgekeerd.
Heb je echt veel "dat" . $dit . "daar" constructies dan zou ik voor (s)printf functies gaan:
$val = sprintf("dit %s daar", $dat);
Dat is pas echt leesbaar.
In theory there is no difference between theory and practice. In practice there is.
Nee, dat vind jijquote:
Ik vind het ranzig om het door die functie te gooien "voor de mooi" (en zelfs dat niet imo), en daarmee volledig nutteloze overhead te creëren. Persoonlijk gebruik ik ook altijd 'string' . $var . 'string' voor de leesbaarheid, omdat je dan in één oogopslag ziet waar een $var staat. Maar ieder z'n meug natuurlijk
Ik wordt echt helemaal leip van "dit" . $dat . "daar" . $zo . "en " . $zus . "constructies"; dat vind ik lelijk, onleesbaar etc etc. Dan is "dit $dat daar $zo en $zus constructies" vele malen leesbaarder. En sprintf is gewoon leesbaarder plus je kan netjes uitlijnen ed. printf("%-20s echt vet", "Dat is pas");
Maar smaken verschillen inderdaad.
Maar smaken verschillen inderdaad.
In theory there is no difference between theory and practice. In practice there is.
Ik zie ook veel liever
dan
Veel beter onderscheid tussen 'platte' en 'functionele' tekst / variabelen. Veel andere programmeertalen werken overigens niet met de methode uit mijn tweede voorbeeldstukje. In bijvoorbeeld C(#) kun je ook niet zomaar een variabelenaam in een string knallen. Niet meer dan logisch natuurlijk.
| 1 2 3 | echo $var1 . ' tekst ' . $var2 . ' tekst... '; ?> |
| 1 2 3 | echo "$var1 tekst $var2 tekst" ?> |
Veel beter onderscheid tussen 'platte' en 'functionele' tekst / variabelen. Veel andere programmeertalen werken overigens niet met de methode uit mijn tweede voorbeeldstukje. In bijvoorbeeld C(#) kun je ook niet zomaar een variabelenaam in een string knallen. Niet meer dan logisch natuurlijk.
IDE`s vinden dat ook veul mooier, kijk maar naar de kleurverschillenquote:Op dinsdag 6 januari 2009 10:58 schreef Roy_T het volgende:
[..]
Nee, dat vind jij
Ik vind het ranzig om het door die functie te gooien "voor de mooi" (en zelfs dat niet imo), en daarmee volledig nutteloze overhead te creëren. Persoonlijk gebruik ik ook altijd 'string' . $var . 'string' voor de leesbaarheid, omdat je dan in één oogopslag ziet waar een $var staat. Maar ieder z'n meug natuurlijk
NotePad++ vindt het inderdaad niet zo fijn om alles maar in stringvorm te parsen.quote:Op dinsdag 6 januari 2009 11:14 schreef Scorpie het volgende:
[..]
IDE`s vinden dat ook veul mooier, kijk maar naar de kleurverschillen
Dan is er nog altijd het argument dat je voor het typen van ' geen shift nodig hebt, en voor het typen van " wel. Gemak dient de mens, en ik ga niet onnodig " gebruiken als ' volstaat.quote:
[..]
Ik denk dat het eerste script waarbij het een merkbaar verschil in snelheid oplevert nog in deze reeks gepost moet worden.
Klopt, al zou je IDE's en code editors nog wel zo kunnen tweaken dat 'ie een $var binnen dubbele quotes een ander kleurtje geeft. En het is een stukje gewenning uit andere talen, zoals Tuvai al aangeeft. Ik programmeer niet alleen in PHP en ben gewend dat je een $var niet zomaar in een string kan knallen. Maar PHP geeft ook weinig om data types uiteraard (rekenen met stringsquote:Op dinsdag 6 januari 2009 11:14 schreef Scorpie het volgende:
IDE`s vinden dat ook veul mooier, kijk maar naar de kleurverschillen
).
Sowieso voorkom je voor jezelf als programmeur zo onnodige fouten. Ik had laatst nog iemand op MSN die me vroeg waarom zijn script 'niks deed outputten'. Kwam het op het volgende neer:
Wat had deze meneer echter gedaan:
Oftewel, PHP gaat zoeken naar variabele $varhehe en vindt uiteraard niks. Ik vind het gewoon een slordige gewoonte, alles maar als stringetjes te parsen. PHP zou dat eigenlijk niet moeten toelaten, dat doet het gros van de andere 'grote' programmeertalen ook niet. Ik zie het derhalve als een soort van automatische foutcorrectie voor slechte programmeurs.
| 1 2 3 4 | $var = 'omfg wtf bbq'; echo '$var = ' . $var . 'hehe'; ?> |
Wat had deze meneer echter gedaan:
| 1 2 3 4 | $var = 'omfg wtf bbq'; echo "$var = $varhehe"; ?> |
Oftewel, PHP gaat zoeken naar variabele $varhehe en vindt uiteraard niks. Ik vind het gewoon een slordige gewoonte, alles maar als stringetjes te parsen. PHP zou dat eigenlijk niet moeten toelaten, dat doet het gros van de andere 'grote' programmeertalen ook niet. Ik zie het derhalve als een soort van automatische foutcorrectie voor slechte programmeurs.
Eenschquote:Op dinsdag 6 januari 2009 11:22 schreef Tuvai.net het volgende:
Sowieso voorkom je voor jezelf als programmeur zo onnodige fouten. Ik had laatst nog iemand op MSN die me vroeg waarom zijn script 'niks deed outputten'. Kwam het op het volgende neer:
[ code verwijderd ]
Wat had deze meneer echter gedaan:
[ code verwijderd ]
Oftewel, PHP gaat zoeken naar variabele $varhehe en vindt uiteraard niks. Ik vind het gewoon een slordige gewoonte, alles maar als stringetjes te parsen. PHP zou dat eigenlijk niet moeten toelaten, dat doet het gros van de andere 'grote' programmeertalen ook niet. Ik zie het derhalve als een soort van automatische foutcorrectie voor slechte programmeurs.
Ik wil de geheime vraag van een gebruiker tonen als deze zijn wachtwoord vergeten is.
Probleem is dat ik elke keer Je geheime vraag: 'Resource id #3' als antwoord krijg en niet de échte geheime vraag zoals die in de database staat.
Waarom krijg ik Resource id #3????
Er staan trouwens wel ?> en <?php om dat html heen alleen verwijderd FOK dat op de een of andere manier.
Probleem is dat ik elke keer Je geheime vraag: 'Resource id #3' als antwoord krijg en niet de échte geheime vraag zoals die in de database staat.
Waarom krijg ik Resource id #3????
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | error_reporting(E_ALL); mysql_connect("localhost", "root", "")or die("mysql_error"); mysql_select_db("opdracht1")or die("mysql_error"); $username = $_POST['username']; if (isset($_POST['submit'])) { $query = "SELECT `vraag` FROM `members` WHERE `username` = '".$username."'"; $result = mysql_query($query); $rowcount= mysql_num_rows($result); if ($rowcount > 0) { echo "Je geheime vraag: '".$result."'"; <tr> <td> <input type="text" name="antwoord"> </td> </tr> <tr> </td> <input type="submit" name="geefww" value="Geef mijn wachtwoord!"; } else { echo "Deze gebruikersnaam is niet bekend bij ons."; } } else { echo "Gelieve wel een username in te vullen"; } ?> |
Bodybuilding #1
Hardlopen #2
Hardlopen #2
Eens. Volgens mij kan het in de meeste andere talen ook niet, omdat ze niet eisen dat een variabele met een bepaald teken (bijvoorbeeld $) begint. En als je variabelenaam gewoon een aantal letters is, zoek dan de variabele maar eens tussen de andere letters.quote:
Oftewel, PHP gaat zoeken naar variabele $varhehe en vindt uiteraard niks. Ik vind het gewoon een slordige gewoonte, alles maar als stringetjes te parsen. PHP zou dat eigenlijk niet moeten toelaten, dat doet het gros van de andere 'grote' programmeertalen ook niet. Ik zie het derhalve als een soort van automatische foutcorrectie voor slechte programmeurs.
mysql_query($query) geeft niet de vraag terug maar een resource. Je moet die vraag nog opvragen, bijvoorbeeld met mysql_result.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Omdat $result een Resource is die de MySQL resultaten bevat. Kijk eens naar iets als: http://nl2.php.net/mysql_fetch_assoc
1) $resource is gewoon jouw uitvoer van de functie mysql_query(). Je doet verder nog niks met deze uitvoer/query. zoek eens op mysql_fetch_array() of mysql_fetch_assoc().quote:Op dinsdag 6 januari 2009 12:07 schreef Kerol het volgende:
Ik wil de geheime vraag van een gebruiker tonen als deze zijn wachtwoord vergeten is.
Probleem is dat ik elke keer Je geheime vraag: 'Resource id #3' als antwoord krijg en niet de échte geheime vraag zoals die in de database staat.
Waarom krijg ik Resource id #3????
[ code verwijderd ]
Er staan trouwens wel ?> en <?php om dat html heen alleen verwijderd FOK dat op de een of andere manier.
2) mysql_num_rows() is een erg achterhaalde functie.
3) Je script is erg vatbaar voor SQL Injection; je gebruikt immers rechtstreeks een variabele die gebruik maakt van een $_POST waarde zonder hier ook maar enige controle op uit te voeren.
Dat los je gewoon op dmv ${var}hehe of zoals php het ook toestaat iirc: {$var}hehe.quote:Op dinsdag 6 januari 2009 11:22 schreef Tuvai.net het volgende:
Sowieso voorkom je voor jezelf als programmeur zo onnodige fouten. Ik had laatst nog iemand op MSN die me vroeg waarom zijn script 'niks deed outputten'. Kwam het op het volgende neer:
[ code verwijderd ]
Wat had deze meneer echter gedaan:
[ code verwijderd ]
Oftewel, PHP gaat zoeken naar variabele $varhehe en vindt uiteraard niks. Ik vind het gewoon een slordige gewoonte, alles maar als stringetjes te parsen. PHP zou dat eigenlijk niet moeten toelaten, dat doet het gros van de andere 'grote' programmeertalen ook niet.
In theory there is no difference between theory and practice. In practice there is.
Vooral dit is een goede Kerol. Want wat zal er gebeuren als iemand als username "';DELETE FROM `members` WHERE 1 OR `username` = '" invult?quote:Op dinsdag 6 januari 2009 12:19 schreef Tuvai.net het volgende:
3) Je script is erg vatbaar voor SQL Injection; je gebruikt immers rechtstreeks een variabele die gebruik maakt van een $_POST waarde zonder hier ook maar enige controle op uit te voeren.
Juist, dan krijg je dit...
| 1 2 | DELETE FROM `members` WHERE 1 OR `username` = '' |
En weg zijn al je members :)
Lees de documentatie bij mysql_query eens goedquote:
[..]
Vooral dit is een goede Kerol. Want wat zal er gebeuren als iemand als username "';DELETE FROM `members` WHERE 1 OR `username` = '" invult?
Juist, dan krijg je dit...
[ code verwijderd ]
En weg zijn al je members
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Detailsquote:Op dinsdag 6 januari 2009 12:58 schreef GlowMouse het volgende:
Lees de documentatie bij mysql_query eens goed
Ondanks dat dit inderdaad niet werkt, is het natuurlijk wel degelijk gevaarlijk om data richting je query niet te escapen (dat weet jij ook wel, maar ik stress het even voor Kerol
).
Daarom gebruik je PDO...
In theory there is no difference between theory and practice. In practice there is.
Helaas zijn er teveel hosts die dat niet ondersteunen, net als mysqli.quote:Op dinsdag 6 januari 2009 14:53 schreef slacker_nl het volgende:
Daarom gebruik je PDO...
