Familienaam checken op bestaandheid

strafeness1

Hallo,

Hoe kan ik het zo maken dat wanneer een familie naam al bestaat dat de code dan echo't 'Deze familie naam bestaat al. '

Ik heb nu dit:

PHP

$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'"));
$test1 = mysql_num_rows($test);
if ($nieuwe != $test1){
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'");
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'");
echo 'Je familie naam is succesvol geupdate';
}

Maar dat werkt niet.

Dein

PHP

$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'")); 
$test1 = mysql_num_rows($test); 
if ($nieuwe != $test1->naam){ 
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}

Toon Meer

strafeness1

Werkt niet voor mij.

Dit is mijn helescript:

PHP

<?


$error = '0';
$familie = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `owner`='$data->login'"));
$user = mysql_fetch_object(mysql_query("SELECT * FROM `users` WHERE `familie`='$data->familie'"));
$user1 = mysql_fetch_object(mysql_query("SELECT * FROM `users` WHERE `id`='$data->id'"));


if ($user1->familie == ""){
$error = '1';
}


if ($data->familie == $familie->naam && $familie->owner == $data->login){
if (isset($_POST['submit'])){
if (strlen($_POST['nieuwe_naam']) >3 && (isset($_POST['submit']))){
$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'")); 
$test1 = mysql_num_rows($test); 
if ($nieuwe != $test1->naam){ 
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}
}
}
}
?>		
<div class="title_bg">
			<div class="title">Familie naam veranderen (<? echo $data->familie;?>)</div>
		</div>


		<div style="background-color:#e4dcc5; padding:10px; padding-top:4px;">
		<table cellpadding="0" cellspacing="0" width="100%"><tr><td>
		<table width="100%" class="mod_list" cellspacing="2" cellpadding="2">
<div style="background-color:#e4dcc5; padding:10px; padding-top:4px;">
		<table cellpadding="0" cellspacing="0" width="100%"><tr><td>
					<table>
			<tr>
			</tr>
		</table>
			</td></tr></table>
		</div>
		<tr>
			<td>
	<form method="post">
		<center>
		</tr>
		</center>
		<tr>
			<td>
				<center>
				<input type="textbox" name="nieuwe_naam" id="nieuwe_naam" maxlength="13">
							<br>
				<input type="submit" name="submit" class="mod_submit" value="Verannder familie naam"></center>
				</center>
			</td>
		</tr>
 	</form>
</tr></td></table>
		</div>


		<table width='100%' cellspacing='2' cellpadding='2'>
			<tr>


				<td class='content_bottom'></td>
			</tr>
		</table>
		<br>		</div>
	</td>
	</tr>


	</table>
	</td>

Toon Meer

Dein

PHP

$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'")); 
$test1 = mysql_num_rows($test); 
if ($test1 == 0){
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}

Toon Meer

strafeness1

Helaas werkt dat ook niet.

Dein

PHP

$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'"));
if ($test != $nieuwe){
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}

Toon Meer

iCold

PHP

$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`=".$nieuwe) or die(mysql_error);
$test1 = mysql_num_rows($test);
if ($test == 0){
	mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'");
	mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'");
	echo 'Je familie naam is succesvol geupdate';
} else {
	echo "Deze naam is al bezet";
}

Even wat verander weer

ZiraX

Stelletje amateurs :') vooral dein, hoe kun je nou een num rows -> object ophalen ?

PHP

<?php


$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'") or die(mysql_error());
$test1 = mysql_num_rows($test);
if ($test1 <= 0){
    mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'");
    mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'");
    echo 'Je familie naam is succesvol geupdate';
} else {
    echo "Deze naam is al bezet";
}
?>

Toon Meer

Dein

Heb er maar met een scheve kop naar gekeken, had het achteraf ook wel gezien,...
Ik zou dit trouwens totaal anders doen, maar dat is mijn mening.
Veilig is het ook zeker niet omdat je zomaar $nieuwe in je database zet!

strafeness1

Bedankt voor jullie antwoorden.

Dein, hoe kan ik het dan wel veilig in mijn database zetten?

iCold

Amateurs? Ik gebruik geen object?

ZiraX

Zelfs jij Silverstar, je roept $test op voor de rows counting.. terwijl je $test1 nodig hebt?

iCold

Pff ik was op school en deed het snel. Dat is niet amateuristisch. je ziet gewoon iets kleins over het hoofd. kan iedereen gebeuren als ie het snel doet en niet controlleerd

Dein

Citaat van strafeness1

Bedankt voor jullie antwoorden.
Dein, hoe kan ik het dan wel veilig in mijn database zetten?

htmlspecialchars() is al een goed begin.

ZiraX voor die fout mag jij mij een amateur noemen, had het sneller moeten zien. :sst:

ZiraX

Btw. htmlspecialchars? waarom niet mysql_real_escape_string? of in geval van mysqli mysqli_real_escape_string($con, $POST);

@Silver,
I'm sorry:')

Dein,
Haha, klopt :')

Dein

mysql_real_escape_string:

Citaat

Escapes special characters in a string for use in an SQL statement

htmlspecialchars:

Citaat

Convert special characters to HTML entities

Mijn voorkeur gaat meer uit naar htmlspecialchars, myqsl_real_escape_string is even goed.

Darsstar

mysql_real_escape_string is goed, htmlspecialchars/htmlentities totaal niet! htmlspecialchars/htmlentities gebruik je om tekst die HTML kan bevatten veilig tussen andere HTML te stoppen. mysql_real_escape_string gebruik je om tekst die SQL kan bevatten veilig tussen andere SQL te stoppen.

Welke je moet gebruiken hangt dus van de situatie af.

Dein

Klopt, maar als ik bijv. in het formulier: AND bank = bank + 100000 doe in htmlspecialchars word = en het + teken vervangen, dus is de SQL code onbruikbaar.

Daarom dat ik zei is even goed, kan het ook mis hebben, dan hoor ik dat graag ;).

Darsstar

Zelfs htmlentities vervangt die tekens niet. htmlspecialchars, mysql_real_escape_string etc zijn functies om data te sanitizen, als je niet ook nog aan valideren doet ben je verkeerd bezig.
Valideer de correctheid van de data die je ontvangt. Die query zou niet eens uitgevoerd mogen worden als iemand AND bank = bank + 1000000 invoert.

Dein

As I said, dit script mist nog veel belangrijke punten, maar ik ga me niet bezig houden om elk script dat hier passeert onder de loep te nemen :P.

Elke input = onveilig , al moeten dat hier nog veel leren :hmm:

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Van een pixelige afbeelding naar een strakke, moderne website

Familienaam checken op bestaandheid

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2