[PHP/(My)SQL] voor dummies - Deel 15 | Digital Corner (DIG)

woensdag 23 november 2005 @ 12:52:06 #176

Chandler

ja dat snap ik, en heb ik ook reeds gedaan... zie uitkomst

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149

<?xml version="1.0" encoding="UTF-8"?>

<cache>

    <settings>

        <startpath>./privegallery/</startpath>

        <fileitems>5</fileitems>

        <filesize>85331</filesize>

        <diritems>4</diritems>

    </settings>

    <directories>

        <dir>

            <name>images</name>

            <subfiles>16</subfiles>

            <subsize>7067</subsize>

            <subdirs>0</subdirs>

            <date>2005-06-16</date>

            <time>17:02:26</time>

        </dir>

        <dir>

            <name>inc</name>

            <subfiles>3</subfiles>

            <subsize>36717</subsize>

            <subdirs>0</subdirs>

            <date>2005-06-16</date>

            <time>17:02:26</time>

        </dir>

        <dir>

            <name>layout</name>

            <subfiles>0</subfiles>

            <subsize>0</subsize>

            <subdirs>2</subdirs>

            <date>2005-06-16</date>

            <time>17:02:27</time>

        </dir>

        <dir>

            <name>uptool</name>

            <subfiles>10</subfiles>

            <subsize>57714</subsize>

            <subdirs>1</subdirs>

            <date>2005-11-23</date>

            <time>00:28:30</time>

        </dir>

    </directories>

    <files>

        <file>

            <name>admin.php</name>

            <size>36190</size>

            <date>2005-08-23</date>

            <time>15:01:01</time>

        </file>

        <file>

            <name>b.bat</name>

            <size>73</size>

            <date>2004-05-23</date>

            <time>14:41:02</time>

        </file>

        <file>

            <name>index.php</name>

            <size>31520</size>

            <date>2005-09-19</date>

            <time>12:16:58</time>

        </file>

        <file>

            <name>plugin.php</name>

            <size>10535</size>

            <date>2005-08-08</date>

            <time>10:40:20</time>

        </file>

        <file>

            <name>view.php</name>

            <size>7013</size>

            <date>2005-03-22</date>

            <time>05:57:40</time>

        </file>

    </files>

</cache>

dit is nu ongeveer de opbouw, echter moet ik nu nog een conversie routine schrijven zodat ik XML weer om kan zetten naar de 'array'

The people who lost my respect will never get a capital letter for their name again.
Like trump...

woensdag 23 november 2005 @ 13:35:29 #177

cyberstalker

Een krachtig neen!

quote:
Op woensdag 23 november 2005 12:52 schreef Chandler het volgende:
ja dat snap ik, en heb ik ook reeds gedaan... zie uitkomst

[ code verwijderd ]

dit is nu ongeveer de opbouw, echter moet ik nu nog een conversie routine schrijven zodat ik XML weer om kan zetten naar de 'array'

Kun je daar niet gewoon een mooie XSLT stylesheet voor maken?

Hope for the best, prepare for the worst.

woensdag 23 november 2005 @ 14:28:08 #178

Desdinova

Olaa

snutver.

ik heb zo'n mooi systeempje, waarmee je itempjes kan toevoegen in je database. Dus titeltje, beschrijvingkje, auteur, beetje dat soort dingen.

maar. nu zijn er van die mensen die zo'n mooie word presentatie schrijven, en dat kopieren in mn textarea. vind ik prima, geen problemen mee ofzo. maar, nu zitten er af en toe van die kommaatjes tussen (die ik niet eens kan vinden op mn toetsenbord

) en dan gaat mn script over zn nek, want dan slaatie de titel niet op. De rest wel, maar de titel paktie niet mee..

htmlspecialchars is eigenlijk niet een optie, want zodra het item ge-edit wordt zie je dus de html codes voor je vreemde tekens. en dat vindt de huistuinkeukenjuffrouw niet prettig natuurlijk

Punt is dus n beetje, wat klopt er niet, en hoe kan ik dit afvangen?

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 14:33:16 #179

JeRa

@Desdinova

Als get_magic_quotes_gpc() true teruggeeft, moet je alle POST-variabelen strippen als volgt:

$waarde = stripslashes($_POST['waarde']);

Hiervoor kun je vast een routine bedenken die dat voor $_GET, $_POST en $_COOKIE doet (staat zelfs in de documentation op php.net als ik me niet vergis). Als je vervolgens waardes in MySQL wilt zetten, zul je weer met addslashes() of mysql_real_escape_string() moeten werken (die laatste heeft de voorkeur).

'INSERT INTO blaat (blaat) VALUES(\'' . addslashes($waarde) . '\')'

En er kan betrekkelijk weinig foutgaan

zoals je het nu vertelt lijkt het me dat mensen je query kunnen veranderen, en dat is niet goed

woensdag 23 november 2005 @ 14:36:49 #180

Desdinova

Olaa

addslashes maakt niet uit

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 14:41:28 #181

JeRa

quote:
Op woensdag 23 november 2005 14:36 schreef Desdinova het volgende:
addslashes maakt niet uit

Laat de query/relevante code eens zien die je uitvoert. Heb gisteren per ongeluk mijn glazen bol kapot laten vallen

woensdag 23 november 2005 @ 15:35:39 #182

Desdinova

Olaa

daar moet je ook zuinig op zijn!

komtie:

input en update:

1
2
3
4
5
6
7

<?php
$msg = preg_replace("/\r\n/","<br>\r\n",$_POST['content']);

$query2 = "UPDATE news SET Titel='".$_POST['titel']."', Content='$msg', Auteur='".$_POST['auteur']."', Date='".$date."' WHERE ID = '".$_POST['ID']."'";

$result2 = mysql_query($query2);
?>

en voor de volledigheid het updateform:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

<?php
       $data = str_replace("<br />","",$row2[Content]);
       $data = str_replace("<br>","",$data);

echo"
<body>
<form name=\"newnews\"  enctype=\"multipart/form-data\" method=\"post\" action=\"input.php?edit=1\">
<table cellpadding=\"10\"><tr><td width=\"400\" >
  <p>Titel:<br>(plaats hier de titel van het bericht)<br>
    <input name=\"titel\" type=\"text\" size=\"80\" maxlength=\"200\" value=\"$row2[Titel]\">
  </p>
  <p>Content:<br>(plaats hier het textbericht)<br>
    <textarea name=\"content\" cols=\"75\" rows=\"8\">$data</textarea>
</p>
  <p>Door:<br>(plaats hier de auteur/bron)<br>
    <input type=\"text\" name=\"auteur\" value=\"$row2[Auteur]\">
  </p>
  <p>Foto:<br>(u kunt hier bladeren naar een foto)<br>
    <input type=\"file\" name=\"file\">
  </p>
  <p>
  </p></td>
?>

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 16:19:17 #183

DionysuZ

Respect my authority!

Ik zou dit toch wat veiliger maken want deze code is erg sqlinjectiegevoelig!

□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell

woensdag 23 november 2005 @ 16:55:40 #184

JeRa

quote:
Op woensdag 23 november 2005 16:19 schreef DionysuZ het volgende:
Ik zou dit toch wat veiliger maken want deze code is erg sqlinjectiegevoelig!

Wat hij zegt

zorg er eerst eens voor dat alles wat als string in de database moet komen te staan in pure data is, met een addslashes() (of mysql_real_escape_string()) er overheen. Op deze manier kunnen mensen je data manipuleren en dat wil je vast niet

woensdag 23 november 2005 @ 17:02:01 #185

Desdinova

Olaa

mm, maar dit is allemaal achter n login. dat dan alsnog n probleem?

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 17:03:13 #186

Chandler

quote:
Op woensdag 23 november 2005 13:35 schreef cyberstalker het volgende:
Kun je daar niet gewoon een mooie XSLT stylesheet voor maken?

Hoe bedoel je? de term XSLT stylesheet ken ik niet...

The people who lost my respect will never get a capital letter for their name again.
Like trump...

woensdag 23 november 2005 @ 17:07:40 #187

cyberstalker

Een krachtig neen!

quote:
Op woensdag 23 november 2005 17:03 schreef Chandler het volgende:

[..]

Hoe bedoel je? de term XSLT stylesheet ken ik niet...

En je google is toevallig ook nog kapot. http://www.w3schools.com/xsl/

Hope for the best, prepare for the worst.

woensdag 23 november 2005 @ 17:08:49 #188

DionysuZ

Respect my authority!

quote:
Op woensdag 23 november 2005 17:02 schreef Desdinova het volgende:
mm, maar dit is allemaal achter n login. dat dan alsnog n probleem?

je moet geen enkele input vertrouwen

□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell

woensdag 23 november 2005 @ 17:10:11 #189

JeRa

quote:
Op woensdag 23 november 2005 17:02 schreef Desdinova het volgende:
mm, maar dit is allemaal achter n login. dat dan alsnog n probleem?

Moet je voorstellen dat iemand een apostrofe (') in de titel zet. Kijk dan nog eens naar je query

woensdag 23 november 2005 @ 17:23:38 #190

Desdinova

Olaa

get_magic_quotes dinges staat standaard aan, dus dat wordt afgevangen

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 17:26:03 #191

JeRa

quote:
Op woensdag 23 november 2005 17:23 schreef Desdinova het volgende:
get_magic_quotes dinges staat standaard aan, dus dat wordt afgevangen

Nou, doe eens een echo $query2 om te zien waar de fout zit als de query failed

of gaat die query goed en gaat er iets anders fout?

woensdag 23 november 2005 @ 17:34:28 #192

Desdinova

Olaa

heb ik gedaan, hij heeft geen $_POST data ontvangen van de titel...

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 17:39:20 #193

DionysuZ

Respect my authority!

Array-indexes vraag je tussen dubbele aanhalingstekens op, dus niet $row2[titel] maar $row2["titel"]

□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell

woensdag 23 november 2005 @ 17:41:50 #194

DionysuZ

Respect my authority!

Overigens is het een stuk netter als je ipv

1	echo "blaaa $variabele";

bijv.

1	echo "blaaa ".$variabele;

of

1	echo "blaaa {$variabele}";

gebruikt. zo kun je ook meerdere variabelen achter elkaar plakken zonder er een spatie tussen te hoeven zetten en is het wat overzichtelijker voor jezelf. En volgens mij hadden sommige php parsers er problemen mee?

□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell

woensdag 23 november 2005 @ 17:53:22 #195

Desdinova

Olaa

ik heb ze tussen single quotes, werkt ook, maar die phptag op t forum sloopt ze weg

en ik gebruik alleen de .$variabele wanneer het nodig is, maar weet van het bestaan en gebruik af

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 18:21:10 #196

DionysuZ

Respect my authority!

wat voor type heeft 'titel' in de db?

□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell

woensdag 23 november 2005 @ 18:23:34 #197

Desdinova

Olaa

varchar

As a rule, I never touch anything more sophisticated and delicate than myself.

woensdag 23 november 2005 @ 19:04:17 #198

JeRa

quote:
Op woensdag 23 november 2005 17:34 schreef Desdinova het volgende:
heb ik gedaan, hij heeft geen $_POST data ontvangen van de titel...

Je moet dan ook htmlentities() gebruiken voor de value van input-elementen:

echo '<input type="text" name="blaat" value="' . htmlentities($blaat) . '" />';

Maar verder zie ik niet aan je code wat er mis kan zijn. Is dit echt alle relevante code?

woensdag 23 november 2005 @ 19:50:55 #199

DutchBlood

quote:
Op maandag 21 november 2005 18:08 schreef DionysuZ het volgende:
Als je het zo wil kan het gewoon met
[ code verwijderd ]

Ik ben nog bezig met mod_rewrite.

Ik heb nu bv de regel

1	RewriteRule ^photography/$ site/index.php?siteid=0.

Nu wil ik alleen het zo creeren dat /photography/index rewrite naar /site/index.php.

Nu kan ik het wel per bestand uitschrijven, maar kan het ook makkelijker?
Ik heb nu dit, maar dat werkt niet:

1	RewriteRule ^misc/([a-zA-Z0-9]+)/$ site/$1.php

woensdag 23 november 2005 @ 20:05:17 #200

DionysuZ

Respect my authority!

quote:
Op woensdag 23 november 2005 19:50 schreef DutchBlood het volgende:

[..]

Ik ben nog bezig met mod_rewrite.

Ik heb nu bv de regel
[ code verwijderd ]

Nu wil ik alleen het zo creeren dat /photography/index rewrite naar /site/index.php.

Nu kan ik het wel per bestand uitschrijven, maar kan het ook makkelijker?
Ik heb nu dit, maar dat werkt niet:
[ code verwijderd ]

ik heb het zojuist getest en het werkt gewoon
als ik
http://www.blalalalal.nl/misc/index/
invul, dan rewrite hij die naar
http://www.blalalalal.nl/misc/site/index.php

□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell

Forum Opties
Forumhop:
Hop naar:	(afkorting, bv 'KLB')

[PHP/(My)SQL] voor dummies - Deel 15

» digital corner

» digital corner