DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
En waarom gebruik je daar addslashes()
(Dat ligt trouwens niet aan die irritante magic qoutes maar aan register globals)
(Dat ligt trouwens niet aan die irritante magic qoutes maar aan register globals)
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
@mooya
Het gaat daar over register_globals, en die staat bij de meeste installaties op Off om veiligheidsrisco's tegen te gaan. De tweede manier is de manier waarop je het behoort te doen
edit:
En wat SuperRembo ook zegt, die addslashes() daar is eigenlijk onzinnig, die hoor je pas te doen zodra je de query maakt.
Het gaat daar over register_globals, en die staat bij de meeste installaties op Off om veiligheidsrisco's tegen te gaan. De tweede manier is de manier waarop je het behoort te doen
edit:
En wat SuperRembo ook zegt, die addslashes() daar is eigenlijk onzinnig, die hoor je pas te doen zodra je de query maakt.
ik verzamel eerst de variabele die uit een formulier komen.
en daar haal ik die addslashes en htmlspecialchars overheen..
en dan stop ik ze in de database..
thuis werkte die goed, maar nu dus niet meer..
En register_globals is toch dat je een variabele kan ophalen zonder $_POST[] en $_GET[]?
[ Bericht 0% gewijzigd door mooya op 12-02-2006 21:22:28 (typo) ]
en daar haal ik die addslashes en htmlspecialchars overheen..
en dan stop ik ze in de database..
thuis werkte die goed, maar nu dus niet meer..
En register_globals is toch dat je een variabele kan ophalen zonder $_POST[] en $_GET[]?
[ Bericht 0% gewijzigd door mooya op 12-02-2006 21:22:28 (typo) ]
De waarde van woonplaats zal ergens in je script geset moeten worden.quote:Op zondag 12 februari 2006 21:02 schreef mooya het volgende:
Ik heb een irritant probleem met de Magic Quotes..
ik heb thuis mijn website gemaakt zonder magic_quotes. en nou zet ik hem op Internet en daar staat hij AAN.. dus al mijn invoervelden krijgen een extra slash..
ik heb het e.e.a geprobeert...
- set_magic_quotes_runtime(0);
- een htacces file aangepast
En de onderstaande code in mijn include bestand geplakt:
[ code verwijderd ]
Ik haal mijn variabele op als:
$woonplaats = addslashes(htmlspecialchars($woonplaats));
ipv:
$woonplaats = addslashes(htmlspecialchars($_POST['woonplaats']));
Als ik de 2e optie gebruik dan werkt het goed.. maar bij de 1e niet..
En ik zie het ook niet echt zitten om alles weer om te gooien.
Iemand een idee?
$woonplaats = $_POST['woonplaats'];
Als je dit bovenaan je script zet dan hoef je verder niets te veranderen. Staan er dan overal slashes omheen dan tik je
$woonplaats = stripslashes($_POST['woonplaats']);
Om verder getik in je script te voorkomen doe je het in een keer goed
$woonplaats = htmlspecialchars(stripslashes($_POST['woonplaats']));
htmlspecialchars is een functie die invloed uitoefent op output. Deze pas je dus niet toe bij het valideren van input.quote:Op zondag 12 februari 2006 21:55 schreef beerten het volgende:
Om verder getik in je script te voorkomen doe je het in een keer goed
$woonplaats = htmlspecialchars(stripslashes($_POST['woonplaats']));
Als je het in een keer goed doet, houdt je php en html zoveel mogelijk gescheiden en gebruik je templates.
Ja, templates, dat heb ik nou al een paar keer horen vallen. Weet iemand een goeie site die me dat uitlegt?
Ok, bij de set_error_handler() functie krijg je dus ook de variabele $errstr, waarin de beschrijving van een error zit. Heel handig enzo, maar nou heb ik dus een functie die errors opvangt en dan verwijst naar een error.html pagina, en dan wordt er een mail naar mij gestuurd:
Allemaal leuk en aardig, maar het enige probleem is dus dat de $errstr blijkbaar een link naar de PHP manual bevat (hier kwam ik achter in een non-HTML mailtje, dus dan zie je bijvoorbeeld dit:
Een tweede vraag zou zijn, ik heb de code getest in een stukje bij waar een bestand wordt geupload, met gelijk daarna een INSERT in de DB. Hoe kan ik testen of iets werkelijk ook ge-upload is? Het desbetreffende gedeelte ziet er zo uit:
Dus hoe kan ik zien of move_uploaded geslaagd is? En als laatste vraag: kan ik een zelfde soort functie maken voor MySQL errors?
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | $reportMail = 'bla@gmail.com'; $redirectPage = 'error/error.html'; if (($errno & error_reporting()) == 0) return; $err = ''; switch($errno) { case E_ERROR: $err = 'FATAL'; break; case E_WARNING: $err = 'ERROR'; break; case E_NOTICE: return; } $message = "Er is een error geconstateerd op een van de pagina's<br /><br />"; $message .= "De error gebeurde in het volgende bestand:<br />"; $message .= $errfile . "<br /><br />"; $message .= "Op lijn <b>$errline</b> deed zich de volgende error voor:<br />"; $message .= $err . ", nr. " . $errno . ": " . $errstr . "<br /><br /><br />"; $message .= "-------------------------------------------------------------<br />"; $message .= "-- <i>Dit bericht is automatisch gegenereerd door BLIK BOT</i> --"; $headers = 'MIME-Version: 1.0' . "\r\n"; $headers .= 'Content-type: text/html; charset=iso-8859-1' . "\r\n"; $headers .= 'From: BLIK Bot <blikbot@blik.nl>' . "\r\n"; mail($reportMail, "BLIK Error", $message, $headers); print '<META HTTP-EQUIV="Refresh" CONTENT="0;url=' . $redirectPage . '">'; exit(); } |
Allemaal leuk en aardig, maar het enige probleem is dus dat de $errstr blijkbaar een link naar de PHP manual bevat (hier kwam ik achter in een non-HTML mailtje, dus dan zie je bijvoorbeeld dit:
In de HTML mailtjes is dat <a href> wel weggehaald, maar is het geen link. Mijn vraag is dus of ik dat kan veranderen, dus gewoon die hele link weghalen in $errstr.quote:move_uploaded_file(/map/image.jpg) [<a href='function.move-uploaded-file'>function.move-uploaded-file</a>]: failed to open stream: No such file or directory
Een tweede vraag zou zijn, ik heb de code getest in een stukje bij waar een bestand wordt geupload, met gelijk daarna een INSERT in de DB. Hoe kan ik testen of iets werkelijk ook ge-upload is? Het desbetreffende gedeelte ziet er zo uit:
| 1 2 3 4 5 6 7 8 9 10 11 | $last_id = mysql_insert_id(); $imgnaam = "image_nieuws_" . $last_id . $extension; $path = "/images/nieuws"; move_uploaded_file($_FILES['inputImage']['tmp_name'], $path . "/" . $imgnaam); $query = "INSERT INTO table(field_id, field_image_naam) VALUES ('" . $last_id . "','" . $imgnaam . "')"; mysql_query($query); } else { //Error boodschap etc... } |
Dus hoe kan ik zien of move_uploaded geslaagd is? En als laatste vraag: kan ik een zelfde soort functie maken voor MySQL errors?
Let's make life easy
Typo's are the demon spawn from hell !
Typo's are the demon spawn from hell !
move_uploaded_file() geeft false terug als er iets fout gaat (zoals je in de manual kan lezen )quote:Op zondag 12 februari 2006 22:13 schreef SkaterSam het volgende:
Dus hoe kan ik zien of move_uploaded geslaagd is? En als laatste vraag: kan ik een zelfde soort functie maken voor MySQL errors?
)
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
ja ik zag het al, dus had ik het veranderd in:
Maar hij redirect nog steeds naar de error pagina, en doet alsnog een INSERT...
| 1 2 3 4 5 6 7 8 9 10 11 12 | $_SESSION['add_error'] .= "<li>Kon het bestand niet verplaatsen</li>"; header("Location: add.php"); exit; } else { $query = "INSERT INTO table(field_nieuws_id, field_image_naam) VALUES ('" . $last_id . "','" . $imgnaam . "')"; mysql_query($query); } |
Maar hij redirect nog steeds naar de error pagina, en doet alsnog een INSERT...
Let's make life easy
Typo's are the demon spawn from hell !
Typo's are the demon spawn from hell !
Correct. En dat moet dus uit staan.quote:Op zondag 12 februari 2006 21:22 schreef mooya het volgende:
En register_globals is toch dat je een variabele kan ophalen zonder $_POST[] en $_GET[]?
functie:quote:Op zondag 12 februari 2006 21:55 schreef beerten het volgende:
[..]
De waarde van woonplaats zal ergens in je script geset moeten worden.
$woonplaats = $_POST['woonplaats'];
Als je dit bovenaan je script zet dan hoef je verder niets te veranderen. Staan er dan overal slashes omheen dan tik je
$woonplaats = stripslashes($_POST['woonplaats']);
Om verder getik in je script te voorkomen doe je het in een keer goed
$woonplaats = htmlspecialchars(stripslashes($_POST['woonplaats']));
| 1 2 3 | $_POST[$key] = stripslashes($postval); } |
als ik $woonplaats = $_POST['woonplaats']; doe dan heeft hij wel de goede waarde (dus zonder slashes)
maar als ik $woonplaats = $woonplaats; doe dan staan er nog wel slashes in...
dus ik moet echt die $_POST var gebruiken... terwijl ik dat bijna nergens in de site gebruik...
moet ik nu de hele site aanpassen, of is er een andere oplossing?
ik ben er nu vanuit gegaan dat register globals aan staat en dat is ook zo, vandaar dat ik de variabele zonder $_POST of $_GET gebruik..
Het beste is om de hele site aan te gaan passen naar gebruik van $_POST, $_GET, etc.quote:Op zondag 12 februari 2006 23:17 schreef mooya het volgende:
[..]
moet ik nu de hele site aanpassen, of is er een andere oplossing?
Je zult in PHP ongeveer op deze manier het beste werken (register_globals op Off!):
- Indien magic_quotes_gpc aanstaat, alle $_POST/$_GET/$_COOKIE-variabelen stripslashen
- Elke variabele benader je puur door $_POST['naam'] / $_GET['naam'] / etc
- Pas als je iets in de database gaat zetten gebruik je addslashes() om de query niet kapot te maken
- Pas als je iets in HTML-markup gaat zetten gebruik je htmlentities() of htmlspecialchars() om de waarden uit de database of uit een $_POST/$_GET/etc om te zetten
Dit is ongeacht de methode die je gebruikt; alhoewel je bij templates vaak ingebouwde functies hebt om een htmlentities() uit te voeren op een variabele. Verder moet je natuurlijk altijd de user input controleren en opletten dat je een query niet blootstelt aan SQL injection
ok dan pas ik de boel aan
maar het beste is om pure html van een gebruiker op te slaan in je DB? en bij de output pas te htmlspecialcharren ?
maar het beste is om pure html van een gebruiker op te slaan in je DB? en bij de output pas te htmlspecialcharren ?
Die HTML kan in je database absoluut geen kwaad, zolang je maar consequent bent met de manier waarop je die contents output dus je zou het op die manier kunnen doen ja.quote:Op zondag 12 februari 2006 23:29 schreef mooya het volgende:
maar het beste is om pure html van een gebruiker op te slaan in je DB? en bij de output pas te htmlspecialcharren ?
IK vraag me nu trouwens af of dat de oplossing zal zijn. Immers wordt de mail niet verminkt of iets dergelijks. De helft van de informatie staat er simpelweg niet in.quote:Op zondag 12 februari 2006 16:49 schreef SuperRembo het volgende:
Is het misschien een oplossing om een multipart mail te sturen met een html en een plaint text versie?
Overigens zal ik me sowieso eens goed gaan verdiepen in de materie, maar vreemd is het wel
Aanvullende vraag. Maken mailclients van urls in een platte tekst mails klikbare links?
Ligt aan de mailclient, maar in mijn geval (Mozilla Thunderbird) doet ie dat weldegelijkquote:Op maandag 13 februari 2006 11:20 schreef Swetsenegger het volgende:
[..]
Maken mailclients van urls in een platte tekst mails klikbare links?
Ik heb nog geen gezien die dat niet doet. Gewoon wel in http://~~ formaat, en niet alleen www.~~quote:Op maandag 13 februari 2006 11:20 schreef Swetsenegger het volgende:
Aanvullende vraag. Maken mailclients van urls in een platte tekst mails klikbare links?
Euh, wat je dus zegt is dat de klant een andere mail krijgt dan jij, terwijl jij gewoon een Cc (of Bcc) krijgt van wat er naar de klant wordt gestuurd?quote:Op maandag 13 februari 2006 11:20 schreef Swetsenegger het volgende:
[..]
IK vraag me nu trouwens af of dat de oplossing zal zijn. Immers wordt de mail niet verminkt of iets dergelijks. De helft van de informatie staat er simpelweg niet in.
Overigens zal ik me sowieso eens goed gaan verdiepen in de materie, maar vreemd is het wel
Precies.quote:Op maandag 13 februari 2006 19:25 schreef Light het volgende:
[..]
Euh, wat je dus zegt is dat de klant een andere mail krijgt dan jij, terwijl jij gewoon een Cc (of Bcc) krijgt van wat er naar de klant wordt gestuurd?
Ik sta in de BCC en krijg tot op heden de mail binnen zoals ik hem ook daadwerkelijk bedoeld heb.
Sommige klanten krijgen dezelfde mail dus verminkt binnen. In zoverre, dat de data halverwege de mail gewoon verdwenen is. En andere klanten hebben hier en daar een vreemd teken in de mail (meestal een uitroepteken). In de body is dit niet zo erg, maar een ! in de bevestigingslink maakt het wat lastig
Kijk ik in de source van de mail welke ik in de BCC heb, ziet het er goed uit, zoals hier in bovenstaande code.
Ik ben er dus zeker van dat het om de interpretatie van een de mailclient gaat. De mail is immers door mijn php script goed verstuurd, anders zou ik 'm ook niet goed ontvangen.
Maar, vanadaag kwam ik via google op een ander topic hier op fok uit (http://forum.fok.nl/topic/812471/1/25 ) over iemand wiens mails simpelweg soms gewoon niet aankomen. Daar gaf iemand sowieso als opmerking dat de charset tussen quotes moet staan. En dat zie ik inderdaad ook in elke uitleg terug
) over iemand wiens mails simpelweg soms gewoon niet aankomen. Daar gaf iemand sowieso als opmerking dat de charset tussen quotes moet staan. En dat zie ik inderdaad ook in elke uitleg terug Daarnaast sluit ik elke headerline met \r\n af. Nu is het een linux server, dus \n is misschien handiger? EN... last but not least, in bovenstaand topic, zag ik in ALLE voorbeelden dat ook de laatste headerline een \n heeft. Ik deed dat bij de laatste regel niet. Ik weet niet of iemand kan bevestigen dan wel ontkennen dat ook de laatste header regel een newline -moet- hebben?
De mailheaders moeten worden afgesloten met \r\n, volgens de mailprotocollen. Servers kunnen ook alleen \n accepteren, maar da's geen onderdeel van het protocol. Dus ik zou gewoon \r\n gebruiken. Alleen weet ik zo even niet zeker of de laatste header ook met \r\n moet worden afgesloten.quote:Op maandag 13 februari 2006 19:36 schreef Swetsenegger het volgende:
Daarnaast sluit ik elke headerline met \r\n af. Nu is het een linux server, dus \n is misschien handiger? EN... last but not least, in bovenstaand topic, zag ik in ALLE voorbeelden dat ook de laatste headerline een \n heeft. Ik deed dat bij de laatste regel niet. Ik weet niet of iemand kan bevestigen dan wel ontkennen dat ook de laatste header regel een newline -moet- hebben?
Ik wist inderdaad dat tussen elke header regel een newline zit (ook een mooie manier om mailinjection af te vangen op je formuliertjes. alles met \n is een no-go)quote:Op maandag 13 februari 2006 20:46 schreef Light het volgende:
[..]
De mailheaders moeten worden afgesloten met \r\n, volgens de mailprotocollen. Servers kunnen ook alleen \n accepteren, maar da's geen onderdeel van het protocol. Dus ik zou gewoon \r\n gebruiken. Alleen weet ik zo even niet zeker of de laatste header ook met \r\n moet worden afgesloten.
Maar de laatste is dus ook voor mij onduidelijk
Anyway, ik heb van \rn eens \n gemaakt, de charset tussen quotes gezet en de laatste header regel met een newline afgesloten. Kijken wat het resultaat nu is.
Swetsenegger, ik heb even de source code van PHP voor je doorgespit om dat over die headers op te zoeken. Zie het volgende:
Zo te zien is het dus het slimst om géén \n (of \r\n) op het einde van je headers te plaatsen. Bron.
| 1 2 3 4 5 6 7 8 9 | fprintf(sendmail, "To: %s\n", to); fprintf(sendmail, "Subject: %s\n", subject); if (headers != NULL) { fprintf(sendmail, "%s\n", headers); } fprintf(sendmail, "\n%s\n", message); ret = pclose(sendmail); (...) |
Zo te zien is het dus het slimst om géén \n (of \r\n) op het einde van je headers te plaatsen. Bron.
Ok, zoals ik het had dusquote:Op maandag 13 februari 2006 20:53 schreef JeRa het volgende:
Swetsenegger, ik heb even de source code van PHP voor je doorgespit om dat over die headers op te zoeken. Zie het volgende:
[ code verwijderd ]
Zo te zien is het dus het slimst om géén \n (of \r\n) op het einde van je headers te plaatsen. Bron.
Het enige 'foutje' zou dan het feit dat de charset niet tussen quotes stond kunnen zijn
Maar welke mailclient gebruikt de persoon waarbij het fout gaat? Heb je al geprobeerd die mailclient te gebruiken en daarmee dat mailtje te ontvangen? Of heb ik ergens overheen gelezen?
Het gaat bij meerdere klanten fout. Van de 55 43 orders ofzo welke nu geplaatst zijn, is het bij een stuk of 5 4 klanten fout gegaan. Dat is 10% en vind ik redelijk veel eigenlijk. Het lijkt me sterk dat 10% van de gemiddelde surfers een brakke mailclient gebruiken eigenlijk.quote:Op maandag 13 februari 2006 21:09 schreef JeRa het volgende:
Maar welke mailclient gebruikt de persoon waarbij het fout gaat? Heb je al geprobeerd die mailclient te gebruiken en daarmee dat mailtje te ontvangen? Of heb ik ergens overheen gelezen?
Anyway, het zijn niet mijn klanten, dus dat maakt het wat lastiger. Ik heb de site eigenaar wel gevraagd of hij meer informatie kan loskrijgen van de klant, maar tot op heden nog geen concrete antwoorden helaas.
Maar zelf heb ik het getest in OE 6, Thunderbird, Outlook 2000, Outlook 2003, Entourage, Gmail, en nog wat webmail clients van hosters en providers. Overal gaat het goed .
quote:Op maandag 13 februari 2006 21:14 schreef morpheus_at_work het volgende:
[ code verwijderd ]
hoe kan ik er voor zorgen dat spaties ook goed gekeurd worden
| 1 |
Jouw moest ik net hebben. ik wilde even op de web hobbit kijken of er misschien header informatie te vinden was, maar die is offlinequote:
Je had niet zoiets van 'god wat zou er gebeuren als ik gewoon een spatie bij het patroon zet' ?quote:Op maandag 13 februari 2006 21:20 schreef morpheus_at_work het volgende:
[..]
is dat alles , jemig 3x dood aangestaard
nee , dat niet , ga toch maar is een goed boekje regular expression for dummies kopenquote:Op maandag 13 februari 2006 21:24 schreef Swetsenegger het volgende:
[..]
Je had niet zoiets van 'god wat zou er gebeuren als ik gewoon een spatie bij het patroon zet' ?
, ga toch maar is een goed boekje regular expression for dummies kopen
klopt. zit me nog te bedenken wat ik met dat ding moet doen. staat niet bar veel nuttigs op namelijk. 3 threadsquote:Op maandag 13 februari 2006 21:19 schreef Swetsenegger het volgende:
[..]
Jouw moest ik net hebben. ik wilde even op de web hobbit kijken of er misschien header informatie te vinden was, maar die is offline
Meer naamsbekendheid aan geven, zorgen voor veel threads en dan google addsquote:Op maandag 13 februari 2006 21:32 schreef Roöaän het volgende:
[..]
klopt. zit me nog te bedenken wat ik met dat ding moet doen. staat niet bar veel nuttigs op namelijk. 3 threads
Maar info over mail headers zal ik er dus niet vinden
neuh, ik gebruik de laatste tijd voornamelijk phpmailer. Heb ik weinig problemen mee.quote:Op maandag 13 februari 2006 21:37 schreef Swetsenegger het volgende:
[..]
Meer naamsbekendheid aan geven, zorgen voor veel threads en dan google adds
Maar info over mail headers zal ik er dus niet vinden
Ik heb niet echt een php vraag maar ik verwacht hier wel een antwoord te krijgen, en een beter topic kan ik er ook niet voor vinden
Hoe kan ik ervoor zorgen dat als ik een pagina laadt, hij niet een plaatje uit zn cache haalt maar echt het plaatje wat op de server staat pakt?
ik heb dit allebei geprobeerd:
Maar t helpt niet... hij blijft het plaatje uit zn cache halen en wachten tot ik op f5 druk..
Hoe kan ik ervoor zorgen dat als ik een pagina laadt, hij niet een plaatje uit zn cache haalt maar echt het plaatje wat op de server staat pakt?
ik heb dit allebei geprobeerd:
| 1 2 | <meta http-equiv="cache-control" content="no-cache"> |
Maar t helpt niet... hij blijft het plaatje uit zn cache halen en wachten tot ik op f5 druk..
Het gaat in mijn geval ook niet fout met verzendenquote:Op maandag 13 februari 2006 21:40 schreef Roöaän het volgende:
[..]
neuh, ik gebruik de laatste tijd voornamelijk phpmailer. Heb ik weinig problemen mee.
quote:Op maandag 13 februari 2006 21:56 schreef ikke_ook het volgende:
Ik heb niet echt een php vraag maar ik verwacht hier wel een antwoord te krijgen, en een beter topic kan ik er ook niet voor vinden
Hoe kan ik ervoor zorgen dat als ik een pagina laadt, hij niet een plaatje uit zn cache haalt maar echt het plaatje wat op de server staat pakt?
ik heb dit allebei geprobeerd:
[ code verwijderd ]
Maar t helpt niet... hij blijft het plaatje uit zn cache halen en wachten tot ik op f5 druk..
| 1 |
Helpt dit misschien?
Nee, ik zat ook meer aan een html oplossing te denken.. het probleem is denk ik dat ik een nieuw plaatje maak in dezelfde directory met dezelfde naam, alleen ziet hij er iets anders uit. Zowel IE als FF pakt dus t oude plaatje ipv de nieuwe...quote:Op maandag 13 februari 2006 22:03 schreef Swetsenegger het volgende:
[..]
[ code verwijderd ]
Helpt dit misschien?
-de html van de pagina blijft dus hetzelfde!-
[ Bericht 4% gewijzigd door ikke_ook op 13-02-2006 22:15:05 ]
Dan maak je er toch met een timestamp een compleet andere naam vanquote:Op maandag 13 februari 2006 22:08 schreef ikke_ook het volgende:
[..]
Nee, ik zat ook meer aan een html oplossing te denken.. het probleem is denk ik dat ik een nieuw plaatje maak in dezelfde directory met dezelfde naam, alleen ziet hij er iets anders uit. Zowel IE als FF pakt dus t oude plaatje ipv de nieuwe...
Je zou de no-cache header met de plaatjes mee kunnen sturen.
Een andere oplossing is om aan de url van elk plaatje een query string toe te voegn die steeds veranderd, bijvoorbeeld met een timestanp of een random getal.
Een andere oplossing is om aan de url van elk plaatje een query string toe te voegn die steeds veranderd, bijvoorbeeld met een timestanp of een random getal.
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
Slaat deze meta tag niet alleen op het html bestand zelf?quote:Op maandag 13 februari 2006 21:56 schreef ikke_ook het volgende:
Ik heb niet echt een php vraag maar ik verwacht hier wel een antwoord te krijgen, en een beter topic kan ik er ook niet voor vinden
Hoe kan ik ervoor zorgen dat als ik een pagina laadt, hij niet een plaatje uit zn cache haalt maar echt het plaatje wat op de server staat pakt?
ik heb dit allebei geprobeerd:
[ code verwijderd ]
Maar t helpt niet... hij blijft het plaatje uit zn cache halen en wachten tot ik op f5 druk..
Ik denk dat je (zoals eerder genoemd) inderdaad headers met je image mee moet sturen wil je de caching daarvan voorkomen.
En hoe stuur ik zo'n header mee met een plaatje?quote:Op dinsdag 14 februari 2006 00:26 schreef Roöaän het volgende:
[..]
Slaat deze meta tag niet alleen op het html bestand zelf?
Ik denk dat je (zoals eerder genoemd) inderdaad headers met je image mee moet sturen wil je de caching daarvan voorkomen.
Genereer je het plaatje d.m.v. PHP? Want dan moet je header() hebben.quote:Op dinsdag 14 februari 2006 08:24 schreef ikke_ook het volgende:
[..]
En hoe stuur ik zo'n header mee met een plaatje?
van de week even wat gelezen.. en volgens mij kwam het erop neer dat ik bij elke $_GET, $_POST en $_REQUEST eerst htmlentities moet toepassen.
zo van $test = htmlentities($_REQUEST['test']);
klopt dat?
zo van $test = htmlentities($_REQUEST['test']);
klopt dat?
As a rule, I never touch anything more sophisticated and delicate than myself.
Nee, kijk even in de PHP manual wat htmlentities() doet! Het is een functie waarmee je de output zo kunt formatteren dat er geen tekens in staan die je HTML kunnen verknoeien.quote:Op dinsdag 14 februari 2006 10:32 schreef Desdinova het volgende:
van de week even wat gelezen.. en volgens mij kwam het erop neer dat ik bij elke $_GET, $_POST en $_REQUEST eerst htmlentities moet toepassen.
zo van $test = htmlentities($_REQUEST['test']);
klopt dat?
Het is helemaal niet de bedoeling dat je dat op elke $_POST, $_GET en $_REQUEST gaat doen. Zie ook deze post van mij.
hmm okee. dus dat is alleen ter preventie van het uitvoeren van HTML codes als ik het goed begrijp.
maar ik heb bijv een query = "SELECT * FROM Test WHERE ID = '".$_GET['ID']."'";
als ze $_GET['ID'] dan een waarde als "1; Delete from test where 1=1" meegeven, heb ik toch een serieus probleem?
maar ik heb bijv een query = "SELECT * FROM Test WHERE ID = '".$_GET['ID']."'";
als ze $_GET['ID'] dan een waarde als "1; Delete from test where 1=1" meegeven, heb ik toch een serieus probleem?
As a rule, I never touch anything more sophisticated and delicate than myself.
Heb je nou gekeken wat htmlentities() doet? wat jij zoekt is addslashes(). HTML en SQL zijn twee compleet verschillende dingen. Bovendien heb ik het idee dat je al tijden geen multiple queries (gescheiden door puntkomma's) in één mysql_query() kunt laten uitvoeren.quote:Op dinsdag 14 februari 2006 10:47 schreef Desdinova het volgende:
hmm okee. dus dat is alleen ter preventie van het uitvoeren van HTML codes als ik het goed begrijp.
maar ik heb bijv een query = "SELECT * FROM Test WHERE ID = '".$_GET['ID']."'";
als ze $_GET['ID'] dan een waarde als "1; Delete from test where 1=1" meegeven, heb ik toch een serieus probleem?
ik heb het niet nog n keer gechecked, maar ik weet dat het < in < oid vervangt, zodat het weergegeven wordt als <, en niet een tag opent.
addslashes is niet wat ik zoek, want die staat standaard aan. get_magic_quotes ofzo.
maar is mijn query dan veilig?
addslashes is niet wat ik zoek, want die staat standaard aan. get_magic_quotes ofzo.
maar is mijn query dan veilig?
As a rule, I never touch anything more sophisticated and delicate than myself.
Je query is wel veilig, maar lees mijn post nog eens (zie de link die ik je net gaf). Daarin beschrijf ik hoe je het best te werk kunt gaan, zó dat het ook op andere systemen met verschillende versies en configuraties van PHP goed werkt. Kortweg; GPC strippen, doen wat je moet doen met je variabelen, en afhankelijk van de output (HTML/SQL) htmlentities() of addslashes() gebruiken.quote:Op dinsdag 14 februari 2006 11:39 schreef Desdinova het volgende:
ik heb het niet nog n keer gechecked, maar ik weet dat het < in < oid vervangt, zodat het weergegeven wordt als <, en niet een tag opent.
addslashes is niet wat ik zoek, want die staat standaard aan. get_magic_quotes ofzo.
maar is mijn query dan veilig?
Als je nu wilt controleren op bepaalde tekens (zoals een apostrofe) in een string die je uit de user input haalt, moet je toeren gaan uithalen omdat die nu geaddslashed zijn.
