1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | //checken of url bestaat in database if ($rowsurl == 0) { $query3=mysql_query("INSERT INTO `url` (`url_adres`) VALUES( '".$urlreal."' )"); $urlquery = mysql_query("SELECT `url_id` FROM `url` WHERE `url_adres` = ".$_POST['url']); $url= mysql_fetch_assoc($urlquery); } else { //als wel bestaat $urlreal = $urlresult; $urlquery = mysql_query("SELECT `url_id` FROM `url` WHERE `url_adres` = '".$urlreal."'"); $urlurl = mysql_fetch_assoc($urlreal); var_dump($urlreal); $url = $urlreal; } $urlquery = mysql_query("SELECT `url_id` FROM `url` WHERE `url_adres` = ".$_POST['url']); $query2 = mysql_query("INSERT INTO `marks` (`gebruiker_id`, `url_id`, `categorie_id`) VALUES( '".$gebruiker['gebruiker_id']."', '".$url."', '".$categorie."')") or die(mysql_error()); ?> |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | //checken of url bestaat in database if($rowsurl == 0) { mysql_query("INSERT INTO `url` (`url_adres`) VALUES( '".$urlreal."' )"); $url_id = mysql_insert_id(); } else { //als wel bestaat $url_id = $urlresult['url_id']; } $query2 = mysql_query("INSERT INTO `marks` (`gebruiker_id`, `url_id`, `categorie_id`) VALUES( '".$gebruiker['gebruiker_id']."', '".$url_id."', '".$categorie."')") or die(mysql_error()); ?> |
1 2 3 | if(isset($_POST['submit']) && (isset($_POST['categorie'])) && (isset($_POST['url']))) ?> |
Nog niet helemaal, maar ik ga me er nu in verdiepen! Zeer bedankt!quote:Op maandag 12 april 2010 15:30 schreef captaintokyo het volgende:
Snap je nu ook wat er fout ging? En waarom het wel werkt zoals ik het gedaan heb?
Graag gedaan. Succes!quote:Op maandag 12 april 2010 15:31 schreef Kerol het volgende:
[..]
Nog niet helemaal, maar ik ga me er nu in verdiepen! Zeer bedankt!
sql injectie aaah ik wou nog op school langsgaan en zijn database crashenquote:Op maandag 12 april 2010 15:39 schreef captaintokyo het volgende:
[..]
Graag gedaan. Succes!
Enne... http://www.php.net/manual/en/function.mysql-real-escape-string.php
tip leer het verschil tussen een variabele en een array variabelequote:Op maandag 12 april 2010 17:49 schreef Kerol het volgende:
Ik had nog 1 vraagje
Ik wil graag alle bookmarks laten zien die bij een bepaalde user hoort.
http://pastebin.com/vt3thN0F
Alleen werkt het zo niet echt.. Ik kom er totaal niet uit hoe het dan wel zou moeten, ben al 2 uur van alles aan het proberen maar het lukt totaal niet.
Zou iemand me nog 1x kunnen helpen? Ben bijna klaar met alles behalve dit
Was je er al uit?quote:Op maandag 12 april 2010 17:49 schreef Kerol het volgende:
Ik had nog 1 vraagje
Ik wil graag alle bookmarks laten zien die bij een bepaalde user hoort.
http://pastebin.com/vt3thN0F
Alleen werkt het zo niet echt.. Ik kom er totaal niet uit hoe het dan wel zou moeten, ben al 2 uur van alles aan het proberen maar het lukt totaal niet.
Zou iemand me nog 1x kunnen helpen? Ben bijna klaar met alles behalve dit
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | $query7 = mysql_query(" SELECT `url`.`url_id`, `url`.`url_adres` FROM `url` INNER JOIN `marks` ON `url`.`url_id` = `marks`.`url_id` INNER JOIN `gebruiker` ON `marks`.`gebruiker_id` = `gebruiker`.`gebruiker_id` WHERE `gebruiker`.`login` = '".mysql_real_escape_string($gebruiker)."' "); while ($row = mysql_fetch_array($query7)) { $urlid = $row['url_id']; // IS DIT NODIG?? WAAROM DOE JE DIT?? echo "<br />"; echo "<tr> <td>"; echo $row['url_adres']; echo "</td> "; echo "<td>"; } ?> |
1 2 3 4 5 6 7 | echo "<br />"; echo "<tr> <td>"; echo $row['url_adres']; echo "</td> "; echo "<td>"; ?> |
1 2 3 4 5 6 | echo '<br /> <tr> <td> '.$row['url_adres'].' </td> <td>'; ?> |
1 2 3 4 5 6 7 8 | if($a == 'a'){ echo $a; foreach($a as $k=>$v){ echo $b; } } ?> |
1 2 3 4 5 6 7 8 | if($a == 'a'){ echo $a; foreach($a as $k=>$v){ echo $b; } } ?> |
1 |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 | include 'mysql.php'; //Mysql DATA selecteren $query="SELECT * FROM nieuws ORDER BY datum DESC"; if (!($temp = mysql_query($query,$connection))) showerror(); //mysql data weergeven $ophalen = mysql_query("SELECT * FROM nieuws") or die(mysql_error()); //while loop while ($gegevens = mysql_fetch_array($ophalen)) { echo " <span class='kop'> "; echo $gegevens['datum']; echo " </span> "; echo " <span class='med'> - "; echo $gegevens['bericht']; echo " @ "; echo $gegevens['sectie']; echo " </span> <br /> "; } ?> |
Die limit 10 plaats je bij DESC, SORT en dat zo? Is het zo simpel?quote:Op donderdag 15 april 2010 21:55 schreef boem-dikkie het volgende:
Je kunt gewoon een id toevoegen en die sorteren. En dan gewoon LIMIT 10.
Als je LIMIT 10 doet laat hij maar 10 resultaten zien. En ja, kan er gewoon achter.quote:Op donderdag 15 april 2010 22:03 schreef caerulean het volgende:
[..]
Die limit 10 plaats je bij DESC, SORT en dat zo? Is het zo simpel?
Ik had allerlei complexe formules verwacht Dank je wel!quote:Op donderdag 15 april 2010 22:04 schreef boem-dikkie het volgende:
[..]
Als je LIMIT 10 doet laat hij maar 10 resultaten zien. En ja, kan er gewoon achter.
Als je zoveel mogelijk selectie vooraf doet via een query scheelt dat een hoop scripting .quote:Op donderdag 15 april 2010 22:06 schreef caerulean het volgende:
[..]
Ik had allerlei complexe formules verwacht Dank je wel!
1 2 3 4 5 6 7 8 9 10 11 12 13 | function userInput($string){ if(get_magic_quotes_gpc()){ $string = stripslashes($string); } if (phpversion() >= '4.3.0'){ $string = mysql_real_escape_string($string); } else{ $string = mysql_escape_string($string); } return $string; } ?> |
Beter doe je:quote:Op zaterdag 17 april 2010 16:56 schreef Apebeer het volgende:
Trouwens voor de mensen die niet echt aan beveiliging denken:
[ code verwijderd ]
Simpel maar effectieve code
Gebruik:
$naam = userInput($_POST['naam']);
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | function escapeAllInput($boolXSS) { foreach(list($_POST, $_GET, $_COOKIE) as &$arrGlobal) { foreach($arrGlobal as $strKey => &$strValue) { if(get_magic_quotes_gpc()){ $strValue = stripslashes($strValue); } if($boolXSS) { $strValue = htmlspecialchars($strValue); } if(function_exists('mysql_real_escape_string')){ $strValue = mysql_real_escape_string($strValue); } elseif(function_exist('mysql_escape_string')){ $strValue = mysql_escape_string($strValue); } else { $strValue = addslashes($strValue); } } } } ?> |
Kan ook ja, maar soms wil je niet alles filterenquote:Op zaterdag 17 april 2010 17:01 schreef Trollface. het volgende:
[..]
Beter doe je:
[ code verwijderd ]
In het geval van user input wel, imo.quote:Op zaterdag 17 april 2010 17:02 schreef Apebeer het volgende:
[..]
Kan ook ja, maar soms wil je niet alles filteren
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |