Familienaam checken op bestaandheid

xize · 9 December 2011

Probeer dit script eens

PHP

<?php
include "config.php";
$nieuwe = $_POST['nieuwe_naam'];
$nieuwe = mysql_real_escape_string($nieuwe);
if(isset($nieuw)) {
	$query = mysql_query("SELECT * FROM families WHERE naam='" . $nieuw . "'");
	$test = mysql_fetch_array($query);
	if ($nieuw != $test['naam']){
		mysql_query("UPDATE users SET familie='" . $_POST['nieuwe_naam'] . "' WHERE familie='" . $user->familie . "'");
		mysql_query("UPDATE families SET naam='" . $_POST['nieuwe_naam'] . "' WHERE naam='" . $familie->naam . "'");
		echo "Je familie naam is succesvol geupdate";
		die();
	} else {
		echo "De famillie naam " . $nieuw . " bestaat al.";
		die();
	}
} else {
	echo "maak hier de textvelden aan";
	die();
}
?>

Toon Meer

overigens heb ik nog even verder naar het script gekeken maar ik raad sterk aan om geen mysql_fetch_object te gebruiken maar mysql_fetch_array;)

overigens weet ik niet hoe het zit met de overige mysql querys waar ik express nog maar de $user->familie en de $user->naam heb laten staan, ook heb ik de num_rows weggehaalt omdat ik niet duidelijk zag waarom die er tussen stont.

voor extra beveiliging is misschien ook handig om te weten dat mysql_real_escape_string wel enkele dingen doet maar zeker niet alle tekens blockeerd hiervoor dient u een specialen array op te maken die vervolgens met foreach en strpos alles naloopt in de post.

PHP

<?php
include "config.php";
$filter = array(
	'#~#ius',
	'#!#ius',
	'#@#ius',
	'#$#ius',
	'#%#ius',
	'#^#ius',
	'#&#ius',
	'#*#ius',
	'#(#ius',
	'#)#ius',
	'#-#ius',
	'#+#ius',
	'#=#ius',
	'#[#ius',
	'#]#ius',
	'#{#ius',
	'#}#ius',
	'#|#ius',
	'#.#ius',
	'#<#ius',
	'#>#ius',
	'#DROP#ius'
);
foreach($filter as $badchar) {
	if(strpos($_POST['nieuwe_naam'], $badchar)) {
		echo "This attempt has been blocked.";
		die();
	}
}
$nieuwe = $_POST['nieuwe_naam'];
$nieuwe = mysql_real_escape_string($nieuwe);
if(isset($nieuw)) {
	$query = mysql_query("SELECT * FROM families WHERE naam='" . $nieuw . "'");
	$test = mysql_fetch_array($query);
	if ($nieuw != $test['naam']){
		mysql_query("UPDATE users SET familie='" . $_POST['nieuwe_naam'] . "' WHERE familie='" . $user->familie . "'");
		mysql_query("UPDATE families SET naam='" . $_POST['nieuwe_naam'] . "' WHERE naam='" . $familie->naam . "'");
		echo "Je familie naam is succesvol geupdate";
		die();
	} else {
		echo "De famillie naam " . $nieuw . " bestaat al.";
		die();
	}
} else {
	echo "maak hier de textvelden aan";
	die();
}
?>

Toon Meer

je kan natuurlijk ook een nog sterkere beveiliging maken met

PHP

preg_replace("/[^a-zA-Z0-9\s]/", " ", $nieuwe);

Met vriendelijke groet,

xize

ZiraX · 9 December 2011

Xize,

wat een onzin lul je toch allemaal,

Mysql_Real_Escape_String, escaped de complete invoer, geen injectie is hierdoor nog mogelijk, Dus je scriptje met je filter array is niet nodig.

Ook heb je het stukje bovenaan de pagina helemaal verkeerd, waarom zou je een query maken, alles oproepen en dan $nieuw != $oud['naam'] ???

MYSQL_NUM_ROWS is voldoende, geen rij, geen bekendheid.
Wel een bekende rij, familie bestaat al.

Waar hebben jullie leren scripten ?

L.Groot · 9 December 2011

ZiraX,
Tegen andere injections zou ik voor de zekerheid [func]strip_tags[/func] er nog wel overheen gooien ;). Kost bijna geen extra load en maakt je script er wel veiliger op. Alleen [func]mysql_real_escape_string[/func] is dus niet goed maar die array replace van xize is overbodige rompslomp. Gewoon vervangen met [func]strip_tags[/func] en eventueel [func]htmlentities[/func] of htmlspecialchars().

Darsstar · 9 December 2011

Alleen mysql_real_escape_string() is goed voor wanneer je iets in de database wilt zetten. Wanneer je user input in html wilt zetten gebruik je functies als strip_tags/htmlspecialchars/htmlentities.

Dat is de goede werkwijze.

Dein · 9 December 2011

PHP

<?php


$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'") or die(mysql_error());
$test1 = mysql_num_rows($test);
if ($test1 <= 0){
    mysql_query("UPDATE `users` SET `familie`='".mysql_real_escape_string($_POST['nieuwe_naam'])."' WHERE `familie`='".$user->familie."'");
    mysql_query("UPDATE `families` SET `naam`='".mysql_real_escape_string($_POST['nieuwe_naam'])."' WHERE `naam`='".$familie->naam."'");
    echo 'Je familie naam is succesvol geupdate';
} else {
    echo "Deze naam is al bezet";
}
?>

Toon Meer

Darsstar heeft gelijk! Dit is het veilige script.

strafeness1 · 9 December 2011

Oke, heel erg bedankt voor jullie reacties.

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

Familienaam checken op bestaandheid

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen

Gebruikers die dit topic bekijken