DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
@splendor
Standaard wordt het 'echte' pad niet doorgegeven, maar er is wel een truukje voor. Je kunt met javascript vlak voordat je een formulier submit de waarde uitlezen en in een hidden field zetten.
Nadeel: je kunt niet in die file inputs wegschrijven dat om te voorkomen dat een website opeens mag bepalen welke bestanden jij verstuurt, dat zou een enorm lek betekenen.
Standaard wordt het 'echte' pad niet doorgegeven, maar er is wel een truukje voor. Je kunt met javascript vlak voordat je een formulier submit de waarde uitlezen en in een hidden field zetten.
Nadeel: je kunt niet in die file inputs wegschrijven dat om te voorkomen dat een website opeens mag bepalen welke bestanden jij verstuurt, dat zou een enorm lek betekenen.
dat om te voorkomen dat een website opeens mag bepalen welke bestanden jij verstuurt, dat zou een enorm lek betekenen.
[ Bericht 100% gewijzigd door mschol op 02-03-2007 11:29:59 ]
mentions en alerts staan uit, pm/dm mij
Tnx, daar was ik al bang voor ja.quote:Op vrijdag 2 maart 2007 11:29 schreef JeRa het volgende:
@splendor
Standaard wordt het 'echte' pad niet doorgegeven, maar er is wel een truukje voor. Je kunt met javascript vlak voordat je een formulier submit de waarde uitlezen en in een hidden field zetten.
Nadeel: je kunt niet in die file inputs wegschrijven dat om te voorkomen dat een website opeens mag bepalen welke bestanden jij verstuurt, dat zou een enorm lek betekenen.
Nouja wat een oplossing zou zijn is het file uploaden los maken van een groot ander formulier, met een eigen submit knop. Is een handeling meer voor de gebruiker maar scheelt een hoop ellende.
-
zou anders toch niet handig werken, de gebruiker zou elke keer dat het formulier een fout bevat onnnodig het bestand opnieuw moeten uploadenquote:Op vrijdag 2 maart 2007 11:35 schreef splendor het volgende:
[..]
Tnx, daar was ik al bang voor ja.
Nouja wat een oplossing zou zijn is het file uploaden los maken van een groot ander formulier, met een eigen submit knop. Is een handeling meer voor de gebruiker maar scheelt een hoop ellende.
Zelfs al kan PHP het hele pad ergens vandaag toveren, dan nog heb je er niets aan. Je kunt de file input in de html namelijk niet populeren met een value uit veiligheidsoverwegingen.quote:Op vrijdag 2 maart 2007 11:27 schreef splendor het volgende:
Maar ik wil niet alleen de orginile bestandsnaam ['name'] maar het hele pad, dus: C:\blabla\bla\file.ext
Is dit mogelijk? Of wordt dit clientside nooit doorgestuurd?
Ik wil dit omdat ik nogal een lang formulier heb en als je een veld niet of niet goed invuldt dan krijg je netjes een rijtje errors en staan alle waarden nog steeds in het formulier, maar het file veld onthoudt ie de waarde niet van.
Juist, dus als iemand een query in wil vullen mtb injectie (want dat is injectie toch?) dan 'beschadigd' de variabele als het ware als er bij float een letter wordt ingevuld...quote:Op vrijdag 2 maart 2007 09:44 schreef ralfie het volgende:
[..]
het is niet logisch om daar van alles zelf voor te maken als er prachtige functies zijn die dit automatisch doen. Kijk bijvoorbeeld is naar:
[ code verwijderd ]
Mocht je ergens numerieke waarden willen, gebruik je een van deze twee
[ code verwijderd ]
afhankelijk van of je een heel getal (integer) will hebben of niet (float)
suc6
Weet namelijk niet precies wat je kan doen om een database te beschadigen oid.
Heb even rondgeklooid met die dingen die je me gaf, en ze zullen de dbase in ieder geval ongevoelig maken voor andere input dan cijfers.
Nu alleen nog zorgen dat ik de woorden escape.
Sommige sites gebruiken een apart systeem voor het uploaden van bestanden. Een gebruiker kan dan los bestanden uploaden zodat deze dan tijdelijk ergens worden weggezet en gekoppeld aan de sessie. Als vervolgens het formulier een fout bevat, dan zijn de bestanden niet verloren gegaan nadeel is dat je dan af en toe de boel moet laten schoonmaken zodra een sessie verloopt.quote:Op vrijdag 2 maart 2007 11:35 schreef splendor het volgende:
[..]
Nouja wat een oplossing zou zijn is het file uploaden los maken van een groot ander formulier, met een eigen submit knop. Is een handeling meer voor de gebruiker maar scheelt een hoop ellende.
| 1 2 3 4 5 | R61: $query ="INSERT INTO `kasboek` ( `id` , `datum` , `type` , `rekeningnr` , `van` , `categorie` , `default` , `bedrag` , `commentaar` ) VALUES ('', '".$POST[datum]."' , '".$POST[type]."', '".$POST[rekeningnr]."', '".$POST[van]."', '".$POST[categorie]."', '".$POST[`default`]."','".$POST[bedrag]."', '".$POST[commentaar]."');"; R62: $result = mysql_query($query) or ( $error = mysql_error()); R63: $data .= ($result) ? 'Afschrift toegevoegd' : 'Er ging wat fout:<br />'.$result; R64:} |
$POST is gewoon de gecontroleerde $_POST
En nu de foutmelding:
Warning: shell_exec() has been disabled for security reasons in C:domains\_adminkasboek.php on line 61
Edit: '".$POST[`default`]."' veranderd in '".$POST['default']."
Maar wat een gare waarschuwing'
't Staat er toch vrij duidelijk? Je kan shell_exec() niet gebruiken wegens veiligheidsredenen.
Eerst goed lezen, er staat helemaal geen shell_exec() .
Eerst goed lezen, er staat helemaal geen shell_exec() .
.
Overigens moet je binnen die $POST dingen waarschijnlijk wel quotes gebruiken, dus $POST['bedrag'] in plaats van $POST[bedrag].
Als je dat consequent doet kan er nooit een probleem komen met reserved words wat weer wel raar is, is dat MySQL heeft gekozen voor backticks en niet de ANSI dubbele quotes.quote:Op vrijdag 2 maart 2007 13:26 schreef Swetsenegger het volgende:
Sowieso... waarom die backticks?
Ik ben op het moment vaak met fopen bezig, en ik wil graag bijhouden hoeveel bandbreedte ik er doorheen jaag.
Op het moment doe ik dat door elke keer als ik een file open en deze regel voor regel met een foreach doorneem, de string lengte van de huidige regel te pakken, en de lengte hiervan bij een variabele toe te voegen. Dat door 1024 delen en ik heb het aantal kilobyte.
Zit ik toevallig in de goede richting?
Op het moment doe ik dat door elke keer als ik een file open en deze regel voor regel met een foreach doorneem, de string lengte van de huidige regel te pakken, en de lengte hiervan bij een variabele toe te voegen. Dat door 1024 delen en ik heb het aantal kilobyte.
Zit ik toevallig in de goede richting?
Ja...maar als je het hele bestand inleest is het natuurlijk veel simpeler om filesize() te gebruikenquote:Op vrijdag 2 maart 2007 15:06 schreef Geqxon het volgende:
Ik ben op het moment vaak met fopen bezig, en ik wil graag bijhouden hoeveel bandbreedte ik er doorheen jaag.
Op het moment doe ik dat door elke keer als ik een file open en deze regel voor regel met een foreach doorneem, de string lengte van de huidige regel te pakken, en de lengte hiervan bij een variabele toe te voegen. Dat door 1024 delen en ik heb het aantal kilobyte.
Zit ik toevallig in de goede richting?
Een website in dit geval, dus volgens mij is dat niet mogelijk.quote:Op vrijdag 2 maart 2007 15:27 schreef JeRa het volgende:
[..]
Ja...maar als je het hele bestand inleest is het natuurlijk veel simpeler om filesize() te gebruiken
* Geqxon duikt TextMate weer even in
Edit Bingo!
| 1 2 3 4 5 | $headers = get_headers($url, 1); if ((!array_key_exists("Content-Length", $headers))) { return false; } return $headers["Content-Length"]; ?> |
Edit
Met mijn regelteller methode: 41960 bytes
Met bovenstaande methode: 52848 bytes
Zat ik toch goed, al gebruik ik wel de header informatie. Ik gok dat het verschil is omdat hij dan ook het heen-en-weer verkeer + de header informatie meetelt.
[ Bericht 33% gewijzigd door Geqxon op 02-03-2007 15:38:43 ]
Even een kort vraagje: $_POST, $_GET en $_COOKIE moet je altijd 'beveiligen' tegen gevaarlijke waardes, maar hoe zit dat met $_SESSION? Kan een gebruiker/hacker daar ook in veranderen?
Nee, dat kan de gebruiker niet. De $_SESSION wordt alleen op de server gebruikt.quote:Op vrijdag 2 maart 2007 15:35 schreef Piles het volgende:
Even een kort vraagje: $_POST, $_GET en $_COOKIE moet je altijd 'beveiligen' tegen gevaarlijke waardes, maar hoe zit dat met $_SESSION? Kan een gebruiker/hacker daar ook in veranderen?
De client krijgt echter wel en cookie op zijn pc met het sessie-id erin. Dus die moet je wel controleren op het moment dat je het sessie-id uitleest.
Ik maak nu een random-hash aan die ik opsla in de database (met een user_id erbij) en in de sessie. Met de sessie haal ik het user_id weer uit de database enzovoortsquote:Op vrijdag 2 maart 2007 16:08 schreef HuHu het volgende:
[..]
Nee, dat kan de gebruiker niet. De $_SESSION wordt alleen op de server gebruikt.
De client krijgt echter wel en cookie op zijn pc met het sessie-id erin. Dus die moet je wel controleren op het moment dat je het sessie-id uitleest.
Is dat veilig genoeg?
Grrrr, lekkere provider heb ik toch:
Edit: Mijn script wordt nu toch wel iets té optimistisch: Bandwidth used: 295.16 kB (126 kB/s). Op een 512kbit lijntje
[ Bericht 25% gewijzigd door Geqxon op 02-03-2007 16:57:35 ]
Toch maar de regels tellenquote:Fatal error: Call to undefined function: get_headers() in /home/buyshitn/public_html/peppisodelite/index.php on line 189
Edit: Mijn script wordt nu toch wel iets té optimistisch: Bandwidth used: 295.16 kB (126 kB/s). Op een 512kbit lijntje
[ Bericht 25% gewijzigd door Geqxon op 02-03-2007 16:57:35 ]
Men zou de cookie met het sessie-id kunnen aanpassen, om zo SQL-injection te doen. Dus voordat je het sessie-id in een query gebruikt moet je deze controleren.quote:Op vrijdag 2 maart 2007 16:32 schreef Piles het volgende:
[..]
Ik maak nu een random-hash aan die ik opsla in de database (met een user_id erbij) en in de sessie. Met de sessie haal ik het user_id weer uit de database enzovoorts
Is dat veilig genoeg?
Dan doen we datquote:Op vrijdag 2 maart 2007 17:02 schreef HuHu het volgende:
[..]
Men zou de cookie met het sessie-id kunnen aanpassen, om zo SQL-injection te doen. Dus voordat je het sessie-id in een query gebruikt moet je deze controleren.
Heeft jou editor geen line numbers?quote:Op vrijdag 2 maart 2007 16:49 schreef Geqxon het volgende:
Grrrr, lekkere provider heb ik toch:
[..]
Toch maar de regels tellen
Edit: Mijn script wordt nu toch wel iets té optimistisch: Bandwidth used: 295.16 kB (126 kB/s). Op een 512kbit lijntje
Niet die regelsquote:Op vrijdag 2 maart 2007 17:24 schreef super-muffin het volgende:
[..]
Heeft jou editor geen line numbers?
ne okuyon, bokmu var?
Heb je het geprobeerd? PHP heeft stream wrappers, kans is dat het dus wel werkt.quote:Op vrijdag 2 maart 2007 15:28 schreef Geqxon het volgende:
[..]
Een website in dit geval, dus volgens mij is dat niet mogelijk.
edit: volgens de documentatie pas sinds PHP 5.0, en maar voor een beperkt aantal wrappers. Waarschijnlijk niet dus
Okay mensen,
Ik zou volgend jaar graag een eigen webshop willen beginnen.
Aangezien ik echt een complete N00b ben, zou ik niet eens weten waar ik zou moeten beginnen.
De site zou er een beetje uit moeten komen te zien als die van de H&M of Abercrombie oid. Dus met verschillende categorieen, dat mensen zich moet registreren om een bestelling te plaatsen en dat je als je gaat afrekenen een plaatje ziet van alle bestelde items.
Qua uiterlijk hoeft het uiteraard niet (meteen) zo strak met pics etc, het gaat me meer om de structuur, de lay-out kan altijd nog verfraaid worden.
Wat is het handigst om eerste te leren; HTML, PHP, CSS, Dreamweaver, Frontpage of iets anders? Het plan is om elke dag een stukje te doen/leren.
Ik verwacht ook niet dat jullie me alles voorkauwen, maar een duw in de goeie richting zou fijn zijn. En welke goeie/leerzame sites raden jullie aan? En zeg niet 'google is your friend' want via google vind je er zoveel dat je door de bomen het bos niet ziet.
Ik wil de webshop zelf opbouwen, dus ook comments zoals 'n00b dit kun je beter laten doen' kunnen achterwege blijven.
Jullie hebben het ook allemaal moeten leren.
En nogmaals ik heb geen haast. Het streven is om de shop in 2008 af te hebben.
Alvast bedankt!
Ik zou volgend jaar graag een eigen webshop willen beginnen.
Aangezien ik echt een complete N00b ben, zou ik niet eens weten waar ik zou moeten beginnen.
De site zou er een beetje uit moeten komen te zien als die van de H&M of Abercrombie oid. Dus met verschillende categorieen, dat mensen zich moet registreren om een bestelling te plaatsen en dat je als je gaat afrekenen een plaatje ziet van alle bestelde items.
Qua uiterlijk hoeft het uiteraard niet (meteen) zo strak met pics etc, het gaat me meer om de structuur, de lay-out kan altijd nog verfraaid worden.
Wat is het handigst om eerste te leren; HTML, PHP, CSS, Dreamweaver, Frontpage of iets anders? Het plan is om elke dag een stukje te doen/leren.
Ik verwacht ook niet dat jullie me alles voorkauwen, maar een duw in de goeie richting zou fijn zijn. En welke goeie/leerzame sites raden jullie aan? En zeg niet 'google is your friend' want via google vind je er zoveel dat je door de bomen het bos niet ziet.
Ik wil de webshop zelf opbouwen, dus ook comments zoals 'n00b dit kun je beter laten doen' kunnen achterwege blijven.
Jullie hebben het ook allemaal moeten leren.
En nogmaals ik heb geen haast. Het streven is om de shop in 2008 af te hebben.
Alvast bedankt!
Begin eens met HTML en CSS te leren, bijvoorbeeld via www.w3schools.com
Je kunt immers wel beginnen met PHP, maar uiteindelijk moet je het resultaat toch in HTML tonen. Lijkt mij handig om dat eerst te kunnen
Je kunt immers wel beginnen met PHP, maar uiteindelijk moet je het resultaat toch in HTML tonen. Lijkt mij handig om dat eerst te kunnen
Inderdaad eerst HTML en CSS leren voor de basis. Met een programma als Dreamweaver leer je dan wel vanzelf omgaan als je de HTML en CSS begrijpt. Daarna PHP gaan leren.
Maar een complete webshop bouwen is wel een aardig project waarbij je wel op heel veel dingen moet letten. Je kan natuurlijk ook eens je licht laten schijnen op iets als osCommerce. Dat is een standaardpakket, zodat je het wiel niet opnieuw hoeft uit te vinden. Je kan dan je opgedane HTML, CSS en PHP kennis gebruiken om osCommerce naar je wensen aan te passen.
Je hoeft dan niet hele basic dingen zelf helemaal uit te gaan vinden, aangezien iets als osCommerce dat al over-en-over heeft uitgedacht, geprobeerd en getest.
Maar een complete webshop bouwen is wel een aardig project waarbij je wel op heel veel dingen moet letten. Je kan natuurlijk ook eens je licht laten schijnen op iets als osCommerce. Dat is een standaardpakket, zodat je het wiel niet opnieuw hoeft uit te vinden. Je kan dan je opgedane HTML, CSS en PHP kennis gebruiken om osCommerce naar je wensen aan te passen.
Je hoeft dan niet hele basic dingen zelf helemaal uit te gaan vinden, aangezien iets als osCommerce dat al over-en-over heeft uitgedacht, geprobeerd en getest.
Heel erg bedankt voor die site, hier heb ik wat aan . Ik ga hem ff doorspittenquote:Op vrijdag 2 maart 2007 19:37 schreef CraZaay het volgende:
Begin eens met HTML en CSS te leren, bijvoorbeeld via www.w3schools.com
Je kunt immers wel beginnen met PHP, maar uiteindelijk moet je het resultaat toch in HTML tonen. Lijkt mij handig om dat eerst te kunnen
Dat osCommerce ken ik niet ja hoe bedoel je n00bquote:Op vrijdag 2 maart 2007 19:42 schreef HuHu het volgende:
Inderdaad eerst HTML en CSS leren voor de basis. Met een programma als Dreamweaver leer je dan wel vanzelf omgaan als je de HTML en CSS begrijpt. Daarna PHP gaan leren.
Maar een complete webshop bouwen is wel een aardig project waarbij je wel op heel veel dingen moet letten. Je kan natuurlijk ook eens je licht laten schijnen op iets als osCommerce. Dat is een standaardpakket, zodat je het wiel niet opnieuw hoeft uit te vinden. Je kan dan je opgedane HTML, CSS en PHP kennis gebruiken om osCommerce naar je wensen aan te passen.
Je hoeft dan niet hele basic dingen zelf helemaal uit te gaan vinden, aangezien iets als osCommerce dat al over-en-over heeft uitgedacht, geprobeerd en getest.
Maar ik ga daar maar es op googlen, jij ook bedankt
Maar aan de andere kant léér je ontzettend veel van het maken van een webshop en kan je hem helemaal aan je wensen aanpassenquote:Op vrijdag 2 maart 2007 19:42 schreef HuHu het volgende:
Inderdaad eerst HTML en CSS leren voor de basis. Met een programma als Dreamweaver leer je dan wel vanzelf omgaan als je de HTML en CSS begrijpt. Daarna PHP gaan leren.
Maar een complete webshop bouwen is wel een aardig project waarbij je wel op heel veel dingen moet letten. Je kan natuurlijk ook eens je licht laten schijnen op iets als osCommerce. Dat is een standaardpakket, zodat je het wiel niet opnieuw hoeft uit te vinden. Je kan dan je opgedane HTML, CSS en PHP kennis gebruiken om osCommerce naar je wensen aan te passen.
Je hoeft dan niet hele basic dingen zelf helemaal uit te gaan vinden, aangezien iets als osCommerce dat al over-en-over heeft uitgedacht, geprobeerd en getest.
weet ik uit ervaring
Dat is zeker waar, maar jij was dan ook geen n00b meer toen je begon met 't bouwen ervan .quote:Op zaterdag 3 maart 2007 11:38 schreef Swetsenegger het volgende:
[..]
Maar aan de andere kant léér je ontzettend veel van het maken van een webshop en kan je hem helemaal aan je wensen aanpassen
weet ik uit ervaring
Niet volslagen nee....quote:Op zaterdag 3 maart 2007 11:47 schreef HuHu het volgende:
[..]
Dat is zeker waar, maar jij was dan ook geen n00b meer toen je begon met 't bouwen ervan .
Ziet er erg goed uit Swets!! Heb je die helemaal 'from scratch' in elkaar gezet?
Wat was jouw voorkennis als ik vragen, omdat je aangeeft dat je voordat je begon geen volslagen n00b was?
[ Bericht 3% gewijzigd door Kwelit op 03-03-2007 13:36:23 (die c stond er al O-)) ]
Wat was jouw voorkennis als ik vragen, omdat je aangeeft dat je voordat je begon geen volslagen n00b was?
[ Bericht 3% gewijzigd door Kwelit op 03-03-2007 13:36:23 (die c stond er al O-)) ]
bedankt en jaquote:Op zaterdag 3 maart 2007 12:54 schreef Kwelit het volgende:
Ziet er erg goed uit Swets!! Heb je die helemaal 'from sratch' in elkaar gezet?
Ik was een jaar met php bezig voordat ik hieraan begon. En voor ik aan php begon had ik in een grijs verleden programmeer ervaring opgedaan in MSX basic en Z80/MSX assembly.quote:Wat was jouw voorkennis als ik vragen, omdat je aangeeft dat je voordat je begon geen volslagen n00b was?
Ik ben ook eerst een aantal jaren met HTML, CSS en PHP bezig geweest voordat ik echt grote applicaties als uitgebreide CMS systemen en webshops ging maken. Wil je echt in een jaar tijd alle weetjes, ditjes en datjes van het maken van bijvoorbeeld een webshop willen kennen dan zul je toch echt dagelijks d'r mee moeten gaan experimenteren hoor. Ik heb dat ook flink wat jaren gedaan alvorens ik 'commercieel' ging doen.
ik voer een htmlspecialchars uit op al mijn POST variablen standaard voor ik er iets mee ga doen, en het ziet er naar uit dat karakters als \ en ' en " netjes omgezet worden maar moet ik alsnog een addslashes uitvoeren voor een post waarde de database ingaat? Want als ik dat doe en het komt de database uit zit alles vol met slashes en kan ik overal waar ik het wil gaan gebruiken eerst stripslashes uitvoeren.
-
quote:Op zaterdag 3 maart 2007 15:13 schreef splendor het volgende:
ik voer een htmlspecialchars uit op al mijn POST variablen standaard voor ik er iets mee ga doen, en het ziet er naar uit dat karakters als \ en ' en " netjes omgezet worden maar moet ik alsnog een addslashes uitvoeren voor een post waarde de database ingaat? Want als ik dat doe en het komt de database uit zit alles vol met slashes en kan ik overal waar ik het wil gaan gebruiken eerst stripslashes uitvoeren.
gebruik de stripslashes_deep functie die halverwege de pagina staat. Schrijf je variabelen met mysql_real_escape_string naar de database.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | function stripslashes_deep($value) { $value = is_array($value) ? array_map('stripslashes_deep', $value) : stripslashes($value); return $value; } if(isset($_POST['submit']{ if(get_magic_quotes_gpc()){ $_POST = stripslashes_deep($_POST); } $query="INSERT INTO tabel (id,iets) VALUES(0,'".mysql_real_escape_string($_POST['iets'])."')"; } ?> |
[ Bericht 34% gewijzigd door Swetsenegger op 03-03-2007 15:23:50 ]
Hmm, maar even een vraag dan.. stel je hebt ergens in je query iets alsquote:Op zaterdag 3 maart 2007 15:18 schreef Swetsenegger het volgende:
[..]
gebruik de stripslashes_deep functie die halverwege de pagina staat. Schrijf je variabelen met mysql_real_escape_string naar de database.
[ code verwijderd ]
SET bla = 'ab'cd'
en dus zal ie over de zeik gaan.
doe ik dan addslashes dan wordt het
SET bla = 'ab\'cd'
maar in de database zelf komt dan toch ab'cd te staan? en niet ab\'cd ?
Ik snap niet goed waarom ik na een addslashes toch nog een stripslashes moet uitvoeren?
[ Bericht 1% gewijzigd door splendor op 03-03-2007 16:13:21 ]
-
In je database komt dan ab backslash-singlequote cd te staan. Daarom moet je de slashes nog even strippen.
Ja maar ik snap niet goed waarom dat is? Is het niet mogelijk om mysql te vertellen om het als waarde te behandelen maar wel de \ eruit te halen? Of is dat gewoon iets wat mysql niet doet en daarom moet je zo moeilijk doen in php?quote:Op zaterdag 3 maart 2007 16:10 schreef Geqxon het volgende:
In je database komt dan ab backslash-singlequote cd te staan. Daarom moet je de slashes nog even strippen.
-
Waarschijnlijk gaat het ergens een keertje dubbelop en komt er dus 'ab\'cd' te staan in je query. In de database komt dan 'ab'cd' te staan, waardoor je bij het eruit halen nogmaals een stripslashes moet doen.
Als er een ' in je data zit, maar deze wordt niet ge-escaped, dan weet MySQL niet of daar je data ophoud en de query verder gaat, of dat het bij je data hoort. Vandaar dat je altijd moet escapen met slashes.
Als er een ' in je data zit, maar deze wordt niet ge-escaped, dan weet MySQL niet of daar je data ophoud en de query verder gaat, of dat het bij je data hoort. Vandaar dat je altijd moet escapen met slashes.
Zou het kunnen zijn omdat ik eerst htmlspecialchars uitvoer? En dat een addslashes daarna een beetje dubbelop is dus.quote:Op zaterdag 3 maart 2007 16:17 schreef HuHu het volgende:
Waarschijnlijk gaat het ergens een keertje dubbelop en komt er dus 'ab\'cd' te staan in je query. In de database komt dan 'ab'cd' te staan, waardoor je bij het eruit halen nogmaals een stripslashes moet doen.
Als er een ' in je data zit, maar deze wordt niet ge-escaped, dan weet MySQL niet of daar je data ophoud en de query verder gaat, of dat het bij je data hoort. Vandaar dat je altijd moet escapen met slashes.
Ik ga eens proberen om eerst addslashes te doen en dan htmlspecialchars.
-
Waarom doe je een htmlspecialchars() vóór het opslaan in de database? Je kan dat toch gewoon doen net voor het moment dat je 't gaat tonen?
Ik heb een module gemaakt die OO een compleet formulier kan opbouwen, verwerken en filteren. Dus wil ik ergens $_POST['iets'] gebruiken, dan is dat al helemaal gefilterd en veilig, scheelt een hoop controles overal die je toch weer kunt vergeten.quote:Op zaterdag 3 maart 2007 16:35 schreef HuHu het volgende:
Waarom doe je een htmlspecialchars() vóór het opslaan in de database? Je kan dat toch gewoon doen net voor het moment dat je 't gaat tonen?
Je kunt overigens gewoon zeggen $clsTextField->htmlspecialchars = false; en dan doet ie dat niet, of ik kan hem zelfs standaard op false zetten, maar het leek me veilig om standaard elk POST variable daar mee te behandelen.
Kan het overigens zijn dat htmlspecialchars zelf al een addslashes uitvoert? En dat het daarom dubbel gebeurt bij mij?
-
De htmlspecialchars() zet een ' om naar $lquot; ofzo, dus er blijft helemaal niets over om te escapen voor de addslashes() voor zover ik weet.
Ik heb even een aantal dingen geprobeerd, wanneer ik een variable met quotes of slashes erin zo probeer door te sturen krijg je een foutmelding in de query, logisch.
Echter wanneer precies datzelfde variable met dezelfde waarde via een POST de query in gaat, krijg ik geen error en staat het netjes in de database.
Oftewel formulieren voeren ergens al een addslashes uit? Maar stel dat ikhet POST variable echo, dan staan er inderdaad extra slashes voor.
Dus het is logisch dat ik overal dubbele quotes kreeg en later weer stripslashes moest uitvoeren.
Maar wat zorgt ervoor dat een formulier slashes krijgt? Firefox/IE? Apache? Een instelling in mijn php.ini?
Echter wanneer precies datzelfde variable met dezelfde waarde via een POST de query in gaat, krijg ik geen error en staat het netjes in de database.
Oftewel formulieren voeren ergens al een addslashes uit? Maar stel dat ikhet POST variable echo, dan staan er inderdaad extra slashes voor.
Dus het is logisch dat ik overal dubbele quotes kreeg en later weer stripslashes moest uitvoeren.
Maar wat zorgt ervoor dat een formulier slashes krijgt? Firefox/IE? Apache? Een instelling in mijn php.ini?
-
neequote:Op zaterdag 3 maart 2007 15:50 schreef splendor het volgende:
[..]
Hmm, maar even een vraag dan.. stel je hebt ergens in je query iets als
SET bla = 'ab'cd'
en dus zal ie over de zeik gaan.
Met mysql_real_escape_string zal inderdaad ab'cd in de db staan, met addslashes staat ab\'cd in de dbquote:doe ik dan addslashes dan wordt het
SET bla = 'ab\'cd'
maar in de database zelf komt dan toch ab'cd te staan? en niet ab\'cd ?
omdat er dan dus een slash in je database veld staat.quote:Ik snap niet goed waarom ik na een addslashes toch nog een stripslashes moet uitvoeren?
je moet gewoon mysql_real_escape_string gebruiken en niet addslashes en stripslashes.quote:Op zaterdag 3 maart 2007 16:12 schreef splendor het volgende:
[..]
Ja maar ik snap niet goed waarom dat is? Is het niet mogelijk om mysql te vertellen om het als waarde te behandelen maar wel de \ eruit te halen? Of is dat gewoon iets wat mysql niet doet en daarom moet je zo moeilijk doen in php?
