DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Gewoon <br /> gebruiken, als ie het later ophaalt en wordt geparsed naar html worden het enters, lijkt mij dan he.
Enters worden gewoon opgeslagen als CR+LF. Als je bij het afdrukken een nl2br() over de html heen haalt worden die weer netjes getoondquote:Op vrijdag 15 april 2011 13:58 schreef MrNiles het volgende:
[..]
Het is natuurlijk een kwestie van uitproberen
maar
worden enters wel onthouden in de DB of krijg ik dan alle tekst achterelkaardoor
Wat beter ja.quote:
[..]
Enters worden gewoon opgeslagen als CR+LF. Als je bij het afdrukken een nl2br() over de html heen haalt worden die weer netjes getoond
Zeer slechte code imo. Ten eerste is via $_POST[self] XSS mogelijk, en dit is eveneens nodig bij je form input. Je valideert helemaal niets. Gebruik hiervoor strip_tags() of htmlentities() om XSS te voorkomen. Daarnaast ben je ook 100% gevoelig voor SQL injection en kan ik je database zo leeg maken als ik dat wil. Gebruik mysql_real_escape_string() voor je $_POST variabelen of gebruik prepared statements icm mysqli.quote:Ik ben bezig met een voetbalpool scriptje, en ik loop eventjes vast op het volgende: De pagina haalt de wedstrijden van de ingevoerde speelronde uit de database, zet deze vervolgens in een tabel met daarin 2 extra velden de scores in te vullen. Dit gedeelte werkt. Hierna moeten de ingevulde scores opgeslagen worden in de database, en hier gaat het (gedeeltelijk) mis. Hij pakt namelijk alleen het laatste resultaat. Dit zal waarschijnlijk via een while loop moeten gebeuren, maar daar kom ik even niet aan uit.
De code:
[ code verwijderd ]
Zou iemand mij hier even mee willen helpen?
Dit kan, maar er is niet voor niets de functie foreach()quote:
[..]
Array kun je dan weer doorlopen via loopje
[ code verwijderd ]
nietquote:Op vrijdag 15 april 2011 15:15 schreef mafkees01 het volgende:
[..]
en kan ik je database zo leeg maken als ik dat wil
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
http://nl3.php.net/mysql_query
quote:mysql_query() sends a unique query (multiple queries are not supported)
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ja dit weet ik. Beveiliging heb ik nog niet aan gewerkt (en is in dit gedeelte van het systeem ook niet heel belangrijk omdat dit een beveiligde omgeving wordt waar alleen ik zelf in kan komen), maar dat komt er nog wel inquote:
[..]
Zeer slechte code imo. Ten eerste is via $_POST[self] XSS mogelijk, en dit is eveneens nodig bij je form input. Je valideert helemaal niets. Gebruik hiervoor strip_tags() of htmlentities() om XSS te voorkomen. Daarnaast ben je ook 100% gevoelig voor SQL injection en kan ik je database zo leeg maken als ik dat wil. Gebruik mysql_real_escape_string() voor je $_POST variabelen of gebruik prepared statements icm mysqli.
[..]
Dit kan, maar er is niet voor niets de functie foreach()
Het is voor mij nu even hoofdzaak om het werkend te krijgen, daarna ga ik kijken naar de beveiliging van alles.
Alle gegevens ophalen dan..quote:
Ik vind dat altijd zo'n onzin hè.. "in dit gedeelte van het systeem ook niet heel belangrijk". Ik snap dat je t nog moet leren, maar een goed begin is het halve werk.. De code is enorm slecht en beter lees je je dan eerst in voordat je begint met schrijven..quote:
[..]
Ja dit weet ik. Beveiliging heb ik nog niet aan gewerkt (en is in dit gedeelte van het systeem ook niet heel belangrijk omdat dit een beveiligde omgeving wordt waar alleen ik zelf in kan komen), maar dat komt er nog wel in
Ten eerste zou ik PHP_SELF weghalen en daar gewoon je pad neerzetten naar je PHP bestand.
Wanneer je een bestand include, kijk dan eerst of het bestaat met file_exists() Dit voorkomt errors voor users indien er iets fout gaat. Ook hoef je bij ntegers geen ' ' omheen te zetten, dit is alleen nodig bij strings.
Zoals gezegd, gebruik strip_tags() op je post waarden want dit gaat geheid fout..
Zoals eerder gezegd, gebruik mysqli icm prepared statements. Je bent dan direct van je sql injection af en de kans dat het fout gaat is dan flink verkleint.. Het kost je vrijwel geen enkele moeite meer..
Succes
Als je bij het leren van PHP jezelf al aanleert om veilig te programmeren, is de kans ook veel kleiner dat je het later steeds weer fout doet .
.
Stroek: Sitethief, die is heel groot en sterk :Y.
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht >:)
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht >:)
- Gepost in javascript voor dummies topic. -
[ Bericht 48% gewijzigd door Diabox op 18-04-2011 17:21:34 ]
[ Bericht 48% gewijzigd door Diabox op 18-04-2011 17:21:34 ]
1) Wat doet die dynContent functie?quote:Op maandag 18 april 2011 17:02 schreef Diabox het volgende:
Ik heb de volgende regel code:
[ code verwijderd ]
Echter nu is het zo dat de hele td klikbaar is en dus verwijdert, i.p.v. alleen het plaatje. Dit is het geval in firefox en chrome... In Internet explorer werkt het wel alleen door op het daadwerkelijke plaatje te klikken (en zo wil ik het ook).
Hoe fix ik dit?
2) dit is javascript, geen php, dus nogal off-topic
Ik post toch ook geen vragen over sinterklaas hier als ik geen sinterklaastopic zie?
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ik haal m'n $_GET's door de volgende functie alvorens ik er iets mee doe;
En nu vroeg ik mij af of dit veilig genoeg is, of dat deze functie nog veiliger kan.
| 1 2 3 4 5 6 7 8 | <?php function make_safe($value){ $value = htmlspecialchars(trim($value)); if (get_magic_quotes_gpc()) $value = stripslashes($value); return $value; } ?> |
En nu vroeg ik mij af of dit veilig genoeg is, of dat deze functie nog veiliger kan.
Het ligt er helemaal aan wat je met de variabele wilt doen.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Ik set er sessions mee en/of ik gebruik ze om mee te rekenen, en/of ik print ze, het wordt in ieder geval niet gebruikt voor SQL queries. Het bevat overigens geen gevoelige informatie, geen gebruikersnamen/wachtwoorden/etc.
Rekenen doe je met doubles of integers, en die hoeven hier niet uit te komen.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
TVP,
Gelijk simpel vraagje; PNG compressie middels ImageMagick, welke filter moet ik kiezen voor compressie?
http://eclecticdjs.com/mi(...)8/setcompression.php
http://eclecticdjs.com/mi(...)mpressionquality.php
php.net brengt mij geen duidelijkheid!
Gelijk simpel vraagje; PNG compressie middels ImageMagick, welke filter moet ik kiezen voor compressie?
http://eclecticdjs.com/mi(...)8/setcompression.php
http://eclecticdjs.com/mi(...)mpressionquality.php
php.net brengt mij geen duidelijkheid!
The people who lost my respect will never get a capital letter for their name again.
Like trump...
Like trump...
png is geen lossy compressie; ik zou kijken naar http://nl.php.net/manual/en/function.imagick-setimageformat.php
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
niet mee gewerkt maar wel een handige manual gevonden
http://nl3.php.net/manual/en/book.oauth.php
ziet er wel handig uit.
http://nl3.php.net/manual/en/book.oauth.php
ziet er wel handig uit.
tjah :P
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | <?php foreach ($_POST['WThuisploeg'] as $key=>$WThuisploeg) { } foreach ($_POST['WUitploeg'] as $key=>$WUitploeg) { } foreach ($_POST['ScoreThuis'] as $key=>$ScoreThuis) { } foreach ($_POST['ScoreUit'] as $key=>$ScoreUit) { } $sql1 = ("UPDATE Wedstrijden SET WScoreThuis='".$ScoreThuis."', WScoreUit='".$ScoreUit."' WHERE WThuisploeg='".$WThuisploeg."' AND WUitploeg='".$WUitploeg."' "); $invoer = mysql_query($sql1) or die (mysql_error()); ?> |
Waarom wordt nu alleen de laatste rij in mijn database geüpdate? Als ik de array uitlees klopt alles wel gewoon.
Omdat je foreach leeg is en je query dus in de foreach moet. Nu loopt hij door de array heen, doet niks, en gebruikt na de hele loop de laatste waarden uit de array voor een enkele update.quote:
[ code verwijderd ]
Waarom wordt nu alleen de laatste rij in mijn database geüpdate? Als ik de array uitlees klopt alles wel gewoon.
Overigens is dit ook behoorlijk inefficient, 4 for-loops in elkaar is altijd een slecht idee. Dat moet te optimaliseren zijn
Edit: never mind, er zitten niet eens 4 for-loops in elkaar, je hebt 4 lege for-loops ná elkaar. Je inspringing is een beetje brak.
Wat is er met die rare indenting van je sluitende brackets? Op dit moment sluiten je foreaches voor ze uberhaupt iets hebben gedaan. Ik snap niet helemaal wat je bedoeling is.quote:
[ code verwijderd ]
Waarom wordt nu alleen de laatste rij in mijn database geüpdate? Als ik de array uitlees klopt alles wel gewoon.
-edit ah ik snap het al. Je probeert je POST vars door te loopen in die foreaches te initialiseren in vars, en dan die query elke keer uit te voeren? Dan moet je inderdaad zoals de poster boven mij zegt je query in de for-loop zetten. Op dit moment loopt hij door alles, en zodra hij dus de loops uit komt staan $WThuisploeg, $WUitploeg etc allemaal op hun laatste waarden geintializeerd (vlak voordat ze de loop uit gingen dus).
Als je het voor elke combo wilt moet je ze niet sequentieel plaatsen, maar genest.
-edit2- Sowieso, zijn die $_POST vars arrays?
Of toch du vader?
De $_POST vars zijn inderdaad arrays. En de inspringing zal ik even opnieuw doen, wordt het iets overzichtelijker.quote:
[..]
Wat is er met die rare indenting van je sluitende brackets? Op dit moment sluiten je foreaches voor ze uberhaupt iets hebben gedaan. Ik snap niet helemaal wat je bedoeling is.
-edit ah ik snap het al. Je probeert je POST vars door te loopen in die foreaches te initialiseren in vars, en dan die query elke keer uit te voeren? Dan moet je inderdaad zoals de poster boven mij zegt je query in de for-loop zetten. Op dit moment loopt hij door alles, en zodra hij dus de loops uit komt staan $WThuisploeg, $WUitploeg etc allemaal op hun laatste waarden geintializeerd (vlak voordat ze de loop uit gingen dus).
Als je het voor elke combo wilt moet je ze niet sequentieel plaatsen, maar genest.
-edit2- Sowieso, zijn die $_POST vars arrays?
Wat ik op dit moment gedaan heb is de sluit-accolades onder de query gezet, en dit levert als resultaat op dat de laatst ingevulde uitslag in elke rij komt te staan.
Zolang je geen associaties hebt in je array tussen welke scores bij welke ploegen horen houd je dat probleem.quote:
[..]
De $_POST vars zijn inderdaad arrays. En de inspringing zal ik even opnieuw doen, wordt het iets overzichtelijker.
Wat ik op dit moment gedaan heb is de sluit-accolades onder de query gezet, en dit levert als resultaat op dat de laatst ingevulde uitslag in elke rij komt te staan.
volgens mij kom je al een heel stuk verder als je dit probeert:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | <?php foreach ($_POST['WThuisploeg'] as $key=>$WThuisploeg) { foreach ($_POST['WUitploeg'] as $key=>$WUitploeg) { foreach ($_POST['ScoreThuis'] as $key=>$ScoreThuis) { foreach ($_POST['ScoreUit'] as $key=>$ScoreUit) { $sql1 = ("UPDATE Wedstrijden SET WScoreThuis='".$ScoreThuis."', WScoreUit='".$ScoreUit."' WHERE WThuisploeg='".$WThuisploeg."' AND WUitploeg='".$WUitploeg."' "); $invoer = mysql_query($sql1) or die (mysql_error()); } } } } ?> |
