php code controleren of het goed is ja/ nee

**paul999** · 11/01/10 16:53

Oorspronkelijk geplaatst door marsipulami

ik snap niet waarom je in je laatste code:

Code:

"INSERT INTO reactiesysteem (id, did, uid, naam, bericht, ip, datum, tijd) VALUES ('', '". $_GET['id'] ."', '". $userid ."', '". mysql_real_escape_string($_POST['naam']) ."', '". mysql_real_escape_string($text) ."', '". $_SERVER['REMOTE_ADDR'] ."', NOW(), ". $tijd .")";

De $_POST wel met mysql_real_escape_string doet, en de $_GET niet. Blijft onveilig op deze manier.

Maar de $_GET['id'] moet een int zijn (ga ik even van uit), dus dan moet het juist niet via mysql_real_escape_string, maar via intval, zodat het ook een int is. En dan moeten ook gelijk de single quotes weg, want een int hoort in een query niet in een single quote.

**lmp** · 11/01/10 17:29

Oorspronkelijk geplaatst door paul999

Maar de $_GET['id'] moet een int zijn (ga ik even van uit), dus dan moet het juist niet via mysql_real_escape_string, maar via intval, zodat het ook een int is. En dan moeten ook gelijk de single quotes weg, want een int hoort in een query niet in een single quote.

Dan ga je er vanuit dat de kolom did een ID is welke technisch gebruik wordt binnen de database. Misschien is did wel een product id ofzo, welke ook uit letters of een combi mogen bestaan.

**marsipulami** · 11/01/10 17:57

Oorspronkelijk geplaatst door Mikey

Je kan met smarty en xajax zalige combinaties maken waarbij je zelfs afhankelijk van de rechten van de user(s) kan bepalen welke switches wel en niet geladen worden. En hiermee met wat extra's zelfs de functionaliteit compleet opbouwen aan de hand van de betreffende rechten.

Ga ik eens even induiken, deze waren mij tot nu toe nog niet bekend. Thnx

**paul999** · 11/01/10 18:37

Oorspronkelijk geplaatst door lmp

Dan ga je er vanuit dat de kolom did een ID is welke technisch gebruik wordt binnen de database. Misschien is did wel een product id ofzo, welke ook uit letters of een combi mogen bestaan.

Dat is mogelijk, maar in meer gevallen werden er single quotes om ints gezet, en dat hoort gewoon niet

.

**chielsen** · 11/01/10 20:40

Ja als je nou eens van PDO of Zend_DB... dingen gebruikt maakt hoef je daar niet zo moeilijk mee te doen. Ook je fout afvangen gaat dan goed.

Die try catch statement snap ik ook niet als je nergens exceptions terug kan gooien.

**paul999** · 11/01/10 20:54

Ook dan horen types gewoon correct te zijn, dat moet gewoon een deel van je beveiliging zijn. Als je ergens een int verwacht hoort er ook gewoon een int te komen, en niet ineens een string

.

**wilma** · 11/01/10 22:58

nogmaals dank voor jullie hulp. zal van de week besluiten wat ik doe.

Onderwerp Gereedschap

Toon

Onderwerp: php code controleren of het goed is ja/ nee

Webhostingtalk.nl

Link met ons

Partners

Contact