Goed gebruik

Jackie

Hallo,

Ik begin nu aan een berichten systeem, dus met berichten versturen enzovoorts.
Ik wil alles goed beveiligen, is addslashes & stripslashes genoeg bij de inputs & outputs?

Hier het script tot nu toe.
Jullie mogen beoordelen.

Script ik zo overzichtelijk, is de manier die ik gebruik met de if/elseif/else goed zo?

newmsg.php

PHP

if(!isset($_POST['submit'])
{
    // hier het formulier
}
else
{
    $sql = mysql_query("SELECT nickname
                        FROM members
                        WHERE nickname = '" . mysql_real_escape_string($_POST['to']) . "'");
						
    if(empty($_POST['to'])
    {
        echo("Je bent vergeten in te vullen naar wie je het bericht wilt versturen.");
    }
    elseif(empty($_POST['msg'])
    {
        echo("Je moet wel een bericht versturen.");
    }
    elseif($_POST['to'] == $data['nickname'])
    {
        echo("Je kan geen bericht naar jezelf verzenden.");
    }
    else
    {
        if(mysql_num_rows($sql) == 0)
        {
            echo("Deze persoon bestaat niet.");
        }
        else
        {
            echo("Je bericht is verzonden.");


            mysql_query("INSERT INTO
                         message_logs
                         (date,
                         info)
                         VALUES
                         ('" . time() . "',
                         '" . strtolower($res['nickname']) . " send a message to " . strtolower($_POST['to']) . "'
                         )");


            mysql_query("INSERT INTO
                         message
                         (date,
                         from
                         to,
                         subject,
                         msg,
                         removed,
                         read)
                         VALUES
                         ('" . time() . "',
                         '" . strtolower($data['nickname']) . "',
                         '" . strtolower($_POST['to']) . "',
                         '" . addslashes($_POST['subject']) . "',
                         '" . addslashes($_POST['msg']) . "',
                         'no',
                         'no'
                         )");
        }
    }
}

Toon Meer

:cheer:

Edit:
$data haalt de gegevens over de ingelogde gebruiker uit de database

Jbouwen

Ik vind de qeury niet overzichtelijk.

Thisguyisgone

Citaat van Jbouwen

Ik vind de qeury niet overzichtelijk.

Dan heb jij geen ervaring. Dit is juist netjes!

htmlspecialchars
mysql_fetch_assoc

al geprobeerd ?

Jackie

Jbouwen
Ik probeer de query zo overzichtelijk mogelijk te maken, wat vind je er niet goed aan dan?

@Maviose
Dankjewel, ik maak tuurlijk gebruik van die functies.

Ik gebruik altijd stripslashes om iets de outputten!!!!

Dit is mijn login pagina.

login.php

PHP

// copyright: Youri van Mill
// date:      10-12-2010


if(!isset($_POST['submit'])) 
{
    echo("<form method=\"post\" action=\"\">
    <table>
    <tr>
        <td>Gebruikersnaam:</td>
        <td><input type=\"text\" name=\"nickname\" /></td>
    </tr>
    <tr>
        <td>Wachtwoord:</td>
        <td><input type=\"password\" name=\"password\" /></td>
    </tr>
    <tr>
        <td colspan=\"2\"><input type=\"submit\" name=\"submit\" value=\"Login\" /></td>
    </tr>
    </table>
</form>");
}
else
{
    $sql = mysql_query("SELECT *
                        FROM members 
                        WHERE nickname = '" . mysql_real_escape_string($_POST['nickname']) . "'");


    if(empty($_POST['nickname']))
    { 
        echo("Je bent vergeten een gebruikersnaam in te vullen."); 
    } 
    elseif(empty($_POST['password']))
    { 
        echo("Je hebt geen wachtwoord ingevult."); 
    }
    else
    {
        if(mysql_num_rows($sql) == 0)
        { 
            echo("Deze persoon bestaat niet."); 
        } 
        else
        {
            $res = mysql_fetch_assoc($sql);
                    
            if(md5($_POST['password']) != $res['password'])
            {
                echo("Je wachtwoord komt niet overeen met het wachtwoord die past bij de gebruikersnaam.");
            }
            else
            {
                $_SESSION['nickname'] = strtolower($_POST['nickname']);


                mysql_query("INSERT INTO 
                             member_logs 
                             (date, 
                             info) 
                             VALUES
                             ('" . time() . "',
                             '" . $_SESSION['nickname'] . " logged in.')"); 
                             
                mysql_query("UPDATE
                             members
                             SET onlinedate = '" . time() . "'
                             WHERE nickname = '" . $_SESSION['nickname'] . "'");


                header("location: /index.php");
            }
        }
    }
}

Toon Meer

ICTscripters

Dé plek voor IT

Dé plek voor IT

Het Grote Vibe Code Topic

PWYL source gezocht

Ictscripters Chat

Help testers nodig voor android app Urgent

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Afspraken systeem met planbeperking

Developer Gezocht

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Sicarras.com - Moderne Mafia Text-Based RPG

AnimatieActiviteiten.be – Dé autoriteit in de recreatiesector

333 Nieuwe Domeinnamen Maart 2026

Goed gebruik

Participate now!

Nebius kondigt bouw aan van een van Europa's grootste datacenters

Samsung zal miljoenen verdienen aan Apple iPhone Fold dankzij zijn 12GB RAM

Apple heeft zojuist iOS 26.4 Beta 4 vrijgegeven: hier is de verwachte lanceerdatum.

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken