Goed gebruik

Jackie · 10 December 2010

Hallo,

Ik begin nu aan een berichten systeem, dus met berichten versturen enzovoorts.
Ik wil alles goed beveiligen, is addslashes & stripslashes genoeg bij de inputs & outputs?

Hier het script tot nu toe.
Jullie mogen beoordelen.

Script ik zo overzichtelijk, is de manier die ik gebruik met de if/elseif/else goed zo?

newmsg.php

PHP

if(!isset($_POST['submit'])
{
    // hier het formulier
}
else
{
    $sql = mysql_query("SELECT nickname
                        FROM members
                        WHERE nickname = '" . mysql_real_escape_string($_POST['to']) . "'");
						
    if(empty($_POST['to'])
    {
        echo("Je bent vergeten in te vullen naar wie je het bericht wilt versturen.");
    }
    elseif(empty($_POST['msg'])
    {
        echo("Je moet wel een bericht versturen.");
    }
    elseif($_POST['to'] == $data['nickname'])
    {
        echo("Je kan geen bericht naar jezelf verzenden.");
    }
    else
    {
        if(mysql_num_rows($sql) == 0)
        {
            echo("Deze persoon bestaat niet.");
        }
        else
        {
            echo("Je bericht is verzonden.");


            mysql_query("INSERT INTO
                         message_logs
                         (date,
                         info)
                         VALUES
                         ('" . time() . "',
                         '" . strtolower($res['nickname']) . " send a message to " . strtolower($_POST['to']) . "'
                         )");


            mysql_query("INSERT INTO
                         message
                         (date,
                         from
                         to,
                         subject,
                         msg,
                         removed,
                         read)
                         VALUES
                         ('" . time() . "',
                         '" . strtolower($data['nickname']) . "',
                         '" . strtolower($_POST['to']) . "',
                         '" . addslashes($_POST['subject']) . "',
                         '" . addslashes($_POST['msg']) . "',
                         'no',
                         'no'
                         )");
        }
    }
}

Toon Meer

:cheer:

Edit:
$data haalt de gegevens over de ingelogde gebruiker uit de database

Jbouwen · 10 December 2010

Ik vind de qeury niet overzichtelijk.

Thisguyisgone · 10 December 2010

Citaat van Jbouwen

Ik vind de qeury niet overzichtelijk.

Dan heb jij geen ervaring. Dit is juist netjes!

htmlspecialchars
mysql_fetch_assoc

al geprobeerd ?

Jackie · 10 December 2010

Jbouwen
Ik probeer de query zo overzichtelijk mogelijk te maken, wat vind je er niet goed aan dan?

@Maviose
Dankjewel, ik maak tuurlijk gebruik van die functies.

Ik gebruik altijd stripslashes om iets de outputten!!!!

Dit is mijn login pagina.

login.php

PHP

// copyright: Youri van Mill
// date:      10-12-2010


if(!isset($_POST['submit'])) 
{
    echo("<form method=\"post\" action=\"\">
    <table>
    <tr>
        <td>Gebruikersnaam:</td>
        <td><input type=\"text\" name=\"nickname\" /></td>
    </tr>
    <tr>
        <td>Wachtwoord:</td>
        <td><input type=\"password\" name=\"password\" /></td>
    </tr>
    <tr>
        <td colspan=\"2\"><input type=\"submit\" name=\"submit\" value=\"Login\" /></td>
    </tr>
    </table>
</form>");
}
else
{
    $sql = mysql_query("SELECT *
                        FROM members 
                        WHERE nickname = '" . mysql_real_escape_string($_POST['nickname']) . "'");


    if(empty($_POST['nickname']))
    { 
        echo("Je bent vergeten een gebruikersnaam in te vullen."); 
    } 
    elseif(empty($_POST['password']))
    { 
        echo("Je hebt geen wachtwoord ingevult."); 
    }
    else
    {
        if(mysql_num_rows($sql) == 0)
        { 
            echo("Deze persoon bestaat niet."); 
        } 
        else
        {
            $res = mysql_fetch_assoc($sql);
                    
            if(md5($_POST['password']) != $res['password'])
            {
                echo("Je wachtwoord komt niet overeen met het wachtwoord die past bij de gebruikersnaam.");
            }
            else
            {
                $_SESSION['nickname'] = strtolower($_POST['nickname']);


                mysql_query("INSERT INTO 
                             member_logs 
                             (date, 
                             info) 
                             VALUES
                             ('" . time() . "',
                             '" . $_SESSION['nickname'] . " logged in.')"); 
                             
                mysql_query("UPDATE
                             members
                             SET onlinedate = '" . time() . "'
                             WHERE nickname = '" . $_SESSION['nickname'] . "'");


                header("location: /index.php");
            }
        }
    }
}

Toon Meer

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

Hulp bij instalatie Mafia Source

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

Goed gebruik

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen