DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
En wat als een of andere grappenmaker nou in 1x bij gebruikersnaam het volgende invoerd:quote:Op dinsdag 22 augustus 2006 14:54 schreef mschol het volgende:
[..]
dat ik daar niet eerder op gekomen ben
thnx in iedereval voor dit heldere licht
en ik weet wat SQL injectens zijn
en ik ben niet echt bang dat me dat overkomt simpel weg door het feit dat je maar eerst eens de url moet gaan proberen te raden (as in: Succes, lukt je nooit)
En ik trek toch niet veel volk naar me site
(as in: Succes, lukt je nooit)| 1 |
Blijf van mn UserIcon af Admins :@
Lijkt me niet praktisch/logisch nee, maar je hebt gelijk--> bij wachtwoord hoeft het nietquote:Op dinsdag 22 augustus 2006 16:19 schreef JeRa het volgende:
[..]
Dus een spatie op het begin of eind van mijn wachtwoord is geen geldig teken?
Blijf van mn UserIcon af Admins :@
Die methode werkt niet meerquote:Op dinsdag 22 augustus 2006 16:24 schreef t-x-m het volgende:
[..]
En wat als een of andere grappenmaker nou in 1x bij gebruikersnaam het volgende invoerd:
[ code verwijderd ]
Daar hoeftie geen url voor te raden, verder, een beetje sql-injector kan jouw url wel vinden hoor!
As a rule, I never touch anything more sophisticated and delicate than myself.
uhh waar wil hij/zij dat invoeren..quote:Op dinsdag 22 augustus 2006 16:24 schreef t-x-m het volgende:
[..]
En wat als een of andere grappenmaker nou in 1x bij gebruikersnaam het volgende invoerd:
[ code verwijderd ]
Daar hoeftie geen url voor te raden, verder, een beetje sql-injector kan jouw url wel vinden hoor!
dan moettie de url naar me login form weten, suc6
nee, dat bedoel ik niet. wat ik wel bedoel is, ik heb ditquote:Op dinsdag 22 augustus 2006 15:30 schreef Tuvai.net het volgende:
Je kunt in MySQL queries een paar ingebouwde functies gebruiken. sum() is bijvoorbeeld voor het totaal van alle kolommen op te tellen, en je hebt ook avg() voor bijvoorbeeld het gemiddelde van alle kolommen in een tabel te berekenen. Op http://www.tizag.com/mysqlTutorial/ staan deze functies vrij goed uitgelegd.
Dus in jouw voorbeeld, als je van een hele tabel van alle records het aantal hits wil optellen, doe je gewoon het volgende:
SELECT sum(hits) FROM jouwtabel
| 1 2 3 4 5 6 | image_id (int) | image(blob) --------------------------------- 0 | [image] 1 | [image] --------------------------------- |
SELECT image from images where image_id=0
Ik snap dat als ik wil weten hoevaak image 0 is opgehaald ik een kolom met hits kan toevoegen en deze met elke successvolle query kan verhogen
UPDATE images WHERE image_id=0 SET hits=hits+1;
Natuurlijk kan ik deze samenvoegen tot
$querry="SELECT image from images where image_id=0;UPDATE images WHERE image_id=0 SET hits=hits+1"
maar ik vroeg me af of dit makkelijker kan, het is toch vrij veel werk voor iets eenvoudigs. Ik hoopte er eigenlijk op dat mysql intern de hits bijhoudt/kan houden?
En jij gelooft echt dat niemand de webpagina in kwestie kan vinden, die wel gewoon voor iedereen toegankelijk is en op het Internet staat?quote:Op dinsdag 22 augustus 2006 16:45 schreef mschol het volgende:
[..]
uhh waar wil hij/zij dat invoeren..
dan moettie de url naar me login form weten, suc6
Hier is een tip: d'r zijn meer methodes voor het vinden van webpagina's, wachtwoorden, e.d. dan raden.
Het is een combinatie van weten waar de pagina staat, kwaad willen doen, weten hoe je kwaad moet doen, en weten welke tabelnamen er zijn, wil je uberhaubt ergens kunnen komen. Voor sommige dingen kan je dat risico maaaakkkelijk nemen.quote:Op dinsdag 22 augustus 2006 16:55 schreef Tuvai.net het volgende:
[..]
En jij gelooft echt dat niemand de webpagina in kwestie kan vinden, die wel gewoon voor iedereen toegankelijk is en op het Internet staat?
Hier is een tip: d'r zijn meer methodes voor het vinden van webpagina's, wachtwoorden, e.d. dan raden.
As a rule, I never touch anything more sophisticated and delicate than myself.
Iemand die wat degelijke ervaring heeft met bijvoorbeeld PHP + MySQL zal genoeg methodes weten om met een login form dat op PHP i.c.m. MySQL draait te knoeien. Als je dan toevallig een form hebt wat notabene slecht beveiligd is, omdat de programmeur toch zoiets nonchalants heeft van "Mwahaha niemand vind deze pagina!", dan kun je met zo'n dergelijk persoon met slechte bedoelingen toch al behoorlijk op de koffie komen.
En trouwens, tegen SQL injection is nog LANG niet overal op het web beveiligd hoor.
Ten slotte vind ik dat je als programmeur toch op z'n minst dat kleine beetje moeite kunt doen om strings en variabelen te filteren, al is het voor je eigen veiligheid. Functies als mysql_real_escape_string() en intval() zijn d'r niet voor niks. Ik spreek trouwens uit ervaring, heb in het begin op mijn website/forum vaak genoeg ettertjes gehad die toch via een of ander simpel variabel wat ik dacht dat het onschuldig was, toch in m'n database hebben zitten rommelen.
En trouwens, tegen SQL injection is nog LANG niet overal op het web beveiligd hoor.
Ten slotte vind ik dat je als programmeur toch op z'n minst dat kleine beetje moeite kunt doen om strings en variabelen te filteren, al is het voor je eigen veiligheid. Functies als mysql_real_escape_string() en intval() zijn d'r niet voor niks. Ik spreek trouwens uit ervaring, heb in het begin op mijn website/forum vaak genoeg ettertjes gehad die toch via een of ander simpel variabel wat ik dacht dat het onschuldig was, toch in m'n database hebben zitten rommelen.
google is your friend ??quote:Op dinsdag 22 augustus 2006 16:55 schreef Tuvai.net het volgende:
[..]
En jij gelooft echt dat niemand de webpagina in kwestie kan vinden, die wel gewoon voor iedereen toegankelijk is en op het Internet staat?
Hier is een tip: d'r zijn meer methodes voor het vinden van webpagina's, wachtwoorden, e.d. dan raden.
ook dat is te beveiligen
dan kan ik net zo goed een htaccess erin zetten maar lege index.html + goeie robots.txt + een vage bestandsnaam voor je login form doen ook wonderen
en ik vind het niet zo'n mega ramp als ze op de pagina komen hoor
maar mijn punt is dus dat ik het niet wil beveiligen maar wel weet dat ik het eigenlijk moet beveiligen..
(dat was inmiddels toch wel duidelijk??? )
Kan iemand me vertertellen waarom dit niet op mijn server werkt??
Die server draait op php4, thuis op php5 werkt het prima. Volgens php.net zou het ook prima moeten werken op php4
Kan iemand me dit uitleggen?
[ Bericht 51% gewijzigd door Mr_Zoidberg op 23-08-2006 15:28:38 ]
| 1 2 3 4 | echo date("D d M Y H:i:s", strtotime("Mon, 21 Aug 2006 01:00:08 -0400e")); // ik krijg dus: Thu 01 Jan 1970 00:59:59 ?> |
Die server draait op php4, thuis op php5 werkt het prima. Volgens php.net zou het ook prima moeten werken op php4
Kan iemand me dit uitleggen?
[ Bericht 51% gewijzigd door Mr_Zoidberg op 23-08-2006 15:28:38 ]
de e op het eind erachter weghalen, doet ie het wel (bij mij dan, php4 thuis)quote:Op woensdag 23 augustus 2006 15:04 schreef Mr_Zoidberg het volgende:
Kan iemand me vertertellen waarom dit niet op mijn server werkt??
<?php
echo date("D d M Y H:i:s", strtotime("Mon, 21 Aug 2006 01:00:08 -0400e"));
// ik krijg dus: Thu 01 Jan 1970 00:59:59
?>
Die server draait op php4, thuis op php5 werkt het prima. Volgens php.net zou het ook prima moeten werken op php4
Kan iemand me dit uitleggen?
php5 behandeld tijdzones op een totaal andere manier als php4, je zult dus wat aan moeten passen
[ Bericht 7% gewijzigd door ralfie op 23-08-2006 15:16:52 ]
Als ik de "e" weg laat, dan geeft ie idd een datum, maar die is niet goed. Het goede antwoord is namelijk: Sun 20 Aug 2006 22:00:08.quote:Op woensdag 23 augustus 2006 15:09 schreef ralfie het volgende:
[..]
de e op het eind erachter weghalen, doet ie het wel (bij mij dan, php4 thuis)
php5 behandeld tijdzones op een totaal andere manier als php4, je zult dus wat aan moeten passen
Ik ga weer ff verder zoeken. Als jullie nog tips hebben hoor ik het graag
edit:
Ik heb het nu erg brakjes opgelost. Omdat het toch altijd om de tijdzone -0400 heb ik dat gedeelte weggelaten en 60*60*4 van de timestamp afgehaald. Niet echt hoe het zou moeten, maar het werkt
[ Bericht 17% gewijzigd door Mr_Zoidberg op 23-08-2006 16:24:20 ]
<style>
.main
{
position: absolute;
left: 10%;
right: 10%;
top: 10%;
bottom: 10%;
overflow: auto;
text-align: right;
}
</style>
waarom werkt dit wel in FF en niet in IE?
IE maakt er gewoon een lange pagina van terwijl FF er een soort iframe-achtig iets van maakt. iemand een idee hoe ik dit in IE kan oplossen?
.main
{
position: absolute;
left: 10%;
right: 10%;
top: 10%;
bottom: 10%;
overflow: auto;
text-align: right;
}
</style>
waarom werkt dit wel in FF en niet in IE?
IE maakt er gewoon een lange pagina van terwijl FF er een soort iframe-achtig iets van maakt. iemand een idee hoe ik dit in IE kan oplossen?
It's Time To Shine
[i]What would life be like without rhethorical questions?[/i]
[i]What would life be like without rhethorical questions?[/i]
een voorbeeld is hier te vinden
It's Time To Shine
[i]What would life be like without rhethorical questions?[/i]
[i]What would life be like without rhethorical questions?[/i]
[CSS] voor dummies - Deel 5quote:Op woensdag 23 augustus 2006 17:03 schreef qu63 het volgende:
waarom werkt dit wel in FF en niet in IE?
[edit] oh, daar heb je ookal gepost
Ik ben waarschijnlijk heel omslachtig aan het doen, hopelijk kan iemand mij een stukje verder helpen. Wat ik wilis het volgende:
op de pagina frontpage.php wil ik het laatste nieuwsbericht weergeven. Alle nieuwsberichten staan
in dezelfde tabel en in die tabel staan verder ook geen andere berichten.
Het SELECT MAX(id) FROM $table werkt hiervoor dus prima.
Dit heb ik ook werkend gekregen. Nu wil ik alleen verderop in de pagina links en titels van de 5
voorgaande berichten weergeven.
Ik krijg dit alleen voor elkaar door 5 extra $result, $links en $id te maken. dus result1 =,
result2= etc etc
dit lijkt me makkelijker te moeten kunnen, allen kan ik niet echt vinden waar.
Misschien is de code die er nu staat ook al te omslachtig. ik heb namelijk wat dingen aan elkaar
lopen breien.
code tot nu toe:
$id_max = mysql_result(mysql_query("SELECT MAX(id) FROM $table"),0,0);
$result = mysql_query("SELECT * FROM $table WHERE id=$id_max",$db);
$links = mysql_fetch_array($result);
$TITEL = $links["TITEL"];
$BODY = $links["BODY"];
$BGPHOTO = $links["BGPHOTO"];
$THUMBPHOTO = $links["THUMBPHOTO"];
$MARKPHOTO = $links["MARKPHOTO"];
$PHOTO = $links["PHOTO"];
$MARKVIDEO = $links["MARKVIDEO"];
$VIDEO = $links["VIDEO"];
$MARKNEWS = $links["MARKNEWS"];
kan iemand me een beetje op weg helpen?
op de pagina frontpage.php wil ik het laatste nieuwsbericht weergeven. Alle nieuwsberichten staan
in dezelfde tabel en in die tabel staan verder ook geen andere berichten.
Het SELECT MAX(id) FROM $table werkt hiervoor dus prima.
Dit heb ik ook werkend gekregen. Nu wil ik alleen verderop in de pagina links en titels van de 5
voorgaande berichten weergeven.
Ik krijg dit alleen voor elkaar door 5 extra $result, $links en $id te maken. dus result1 =,
result2= etc etc
dit lijkt me makkelijker te moeten kunnen, allen kan ik niet echt vinden waar.
Misschien is de code die er nu staat ook al te omslachtig. ik heb namelijk wat dingen aan elkaar
lopen breien.
code tot nu toe:
$id_max = mysql_result(mysql_query("SELECT MAX(id) FROM $table"),0,0);
$result = mysql_query("SELECT * FROM $table WHERE id=$id_max",$db);
$links = mysql_fetch_array($result);
$TITEL = $links["TITEL"];
$BODY = $links["BODY"];
$BGPHOTO = $links["BGPHOTO"];
$THUMBPHOTO = $links["THUMBPHOTO"];
$MARKPHOTO = $links["MARKPHOTO"];
$PHOTO = $links["PHOTO"];
$MARKVIDEO = $links["MARKVIDEO"];
$VIDEO = $links["VIDEO"];
$MARKNEWS = $links["MARKNEWS"];
kan iemand me een beetje op weg helpen?
--- niet voor mietjes! ---
Ehh, eerst alle 10 eerste records in array krijgen.
En vervolgens 2 keer een for/while whatever loop aanroepen die 1 keer record 0-4 print, en de tweede 5-9.
SELECT * FROM $table LIMIT 10
en dan verder.
En vervolgens 2 keer een for/while whatever loop aanroepen die 1 keer record 0-4 print, en de tweede 5-9.
SELECT * FROM $table LIMIT 10
en dan verder.
quote:Op donderdag 24 augustus 2006 09:28 schreef ronvonflon het volgende:
Ik ben waarschijnlijk heel omslachtig aan het doen, hopelijk kan iemand mij een stukje verder helpen. Wat ik wilis het volgende:
op de pagina frontpage.php wil ik het laatste nieuwsbericht weergeven. Alle nieuwsberichten staan
in dezelfde tabel en in die tabel staan verder ook geen andere berichten.
Het SELECT MAX(id) FROM $table werkt hiervoor dus prima.
Dit heb ik ook werkend gekregen. Nu wil ik alleen verderop in de pagina links en titels van de 5
voorgaande berichten weergeven.
Ik krijg dit alleen voor elkaar door 5 extra $result, $links en $id te maken. dus result1 =,
result2= etc etc
dit lijkt me makkelijker te moeten kunnen, allen kan ik niet echt vinden waar.
Misschien is de code die er nu staat ook al te omslachtig. ik heb namelijk wat dingen aan elkaar
lopen breien.
code tot nu toe:
$id_max = mysql_result(mysql_query("SELECT MAX(id) FROM $table"),0,0);
$result = mysql_query("SELECT * FROM $table WHERE id=$id_max",$db);
$links = mysql_fetch_array($result);
$TITEL = $links["TITEL"];
$BODY = $links["BODY"];
$BGPHOTO = $links["BGPHOTO"];
$THUMBPHOTO = $links["THUMBPHOTO"];
$MARKPHOTO = $links["MARKPHOTO"];
$PHOTO = $links["PHOTO"];
$MARKVIDEO = $links["MARKVIDEO"];
$VIDEO = $links["VIDEO"];
$MARKNEWS = $links["MARKNEWS"];
kan iemand me een beetje op weg helpen?
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | $berichten=mysql_query("SELECT * FROM $table ORDER BY id DESC LIMIT 5",$db); $num=1; while($bericht=mysql_fetch_array($berichten)){ if($num==1){ $grootbericht="Bericht met onder andere $bericht[titel], $bericht[body], $bericht[bgphoto], etc"; }else{ $kleineberichten.="$bericht[titel]<br />"; } $num++; } echo $grootbericht.'<br />'.$kleineberichten; ?> |
Zoiets?
ik heb geen idee wat ik fout doe, maar ik krijg geen output:
<?php
include("admin/include/config.php");
$db = mysql_connect("$dbserver", "$dbuser", "$dbpass");
mysql_select_db("$dbname",$db);
$TITEL = $bericht["TITEL"];
$BODY = $bericht["BODY"];
$BGPHOTO = $bericht["BGPHOTO"];
$THUMBPHOTO = $bericht["THUMBPHOTO"];
$MARKPHOTO = $bericht["MARKPHOTO"];
$PHOTO = $bericht["PHOTO"];
$MARKVIDEO = $bericht["MARKVIDEO"];
$VIDEO = $bericht["VIDEO"];
$MARKNEWS = $bericht["MARKNEWS"];
$berichten=mysql_query("SELECT * FROM $table ORDER BY id DESC LIMIT 5",$db); $num=1;
while($bericht=mysql_fetch_array($berichten)){
if($num==1){
$grootbericht="Bericht met onder andere $TITEL, $BODY";
}else{
$kleineberichten.="$bericht[titel]<br />";
}
$num++;
}
echo $grootbericht.'<br />'.$kleineberichten
?>
<?php
include("admin/include/config.php");
$db = mysql_connect("$dbserver", "$dbuser", "$dbpass");
mysql_select_db("$dbname",$db);
$TITEL = $bericht["TITEL"];
$BODY = $bericht["BODY"];
$BGPHOTO = $bericht["BGPHOTO"];
$THUMBPHOTO = $bericht["THUMBPHOTO"];
$MARKPHOTO = $bericht["MARKPHOTO"];
$PHOTO = $bericht["PHOTO"];
$MARKVIDEO = $bericht["MARKVIDEO"];
$VIDEO = $bericht["VIDEO"];
$MARKNEWS = $bericht["MARKNEWS"];
$berichten=mysql_query("SELECT * FROM $table ORDER BY id DESC LIMIT 5",$db); $num=1;
while($bericht=mysql_fetch_array($berichten)){
if($num==1){
$grootbericht="Bericht met onder andere $TITEL, $BODY";
}else{
$kleineberichten.="$bericht[titel]<br />";
}
$num++;
}
echo $grootbericht.'<br />'.$kleineberichten
?>
--- niet voor mietjes! ---
Ik zie nergens $table gedefinieëerd worden. Wat staat er in config.php?quote:Op donderdag 24 augustus 2006 10:33 schreef ronvonflon het volgende:
ik heb geen idee wat ik fout doe, maar ik krijg geen output:
<?php
include("admin/include/config.php");
$db = mysql_connect("$dbserver", "$dbuser", "$dbpass");
mysql_select_db("$dbname",$db);
$TITEL = $bericht["TITEL"];
$BODY = $bericht["BODY"];
$BGPHOTO = $bericht["BGPHOTO"];
$THUMBPHOTO = $bericht["THUMBPHOTO"];
$MARKPHOTO = $bericht["MARKPHOTO"];
$PHOTO = $bericht["PHOTO"];
$MARKVIDEO = $bericht["MARKVIDEO"];
$VIDEO = $bericht["VIDEO"];
$MARKNEWS = $bericht["MARKNEWS"];
$berichten=mysql_query("SELECT * FROM $table ORDER BY id DESC LIMIT 5",$db); $num=1;
while($bericht=mysql_fetch_array($berichten)){
if($num==1){
$grootbericht="Bericht met onder andere $TITEL, $BODY";
}else{
$kleineberichten.="$bericht[titel]<br />";
}
$num++;
}
echo $grootbericht.'<br />'.$kleineberichten
?>
Overigens kun je al die losse variabelen boven dat stukje code van mij nu compleet weghalen. Niet de eerste 3 regels natuurlijk. En je moet $bericht[titel] en $bericht[body] niet veranderen naar $TITEL en $BODY, trouwens.
Ik heb een stukje code waarmee ik iets van elkaar wil aftrekken.
$COSTSCRIPT_UPLOAD Deze wordt in de config php gezet en die andere wordt uit de database gepakt
de waarde daarvan is 5
nu wordt mijn tabel altijd upgedate naar -5 hoe kan dit
Trouwens de seedbonus is 160
Weet iemand wat ik fout doe
$COSTSCRIPT_UPLOAD Deze wordt in de config php gezet en die andere wordt uit de database gepakt
de waarde daarvan is 5
nu wordt mijn tabel altijd upgedate naar -5 hoe kan dit
Trouwens de seedbonus is 160
Weet iemand wat ik fout doe
| 1 2 3 4 5 6 7 | $query_bonuscount = "SELECT seedbonus FROM users WHERE id='".$CURUSER['uid']."'"; mysql_query($query_bonuscount) or die(mysql_error()); $newseedbonus = $query_bonuscount - $COSTSCRIPT_UPLOAD; $query_update = "UPDATE users SET seedbonus='$newseedbonus' WHERE id='".$CURUSER['uid']."'"; mysql_query($query_update) or die(mysql_error()); ?> |
Dat kan toch ook in 1 query:
| 1 2 3 4 | $query_update = "UPDATE users SET seedbonus = seedbonus - ".$COSTSCRIPT_UPLOAD." WHERE id='".$CURUSER['uid']."'"; mysql_query($query_update) or die(mysql_error()); ?> |
Heb je $COSTSCRIPT_UPLOAD als string gedefineerd, ipv als integer?quote:Op donderdag 24 augustus 2006 17:16 schreef dujour het volgende:
idd dat zie ik nu ook alleen krijg nog steeds - 5
| 1 2 3 4 | $COSTSCRIPT_UPLOAD = "5"; // string $COSTSCRIPT_UPLOAD = 5; // integer ?> |
