Familienaam checken op bestaandheid

strafeness1 · 6 December 2011

Hallo,

Hoe kan ik het zo maken dat wanneer een familie naam al bestaat dat de code dan echo't 'Deze familie naam bestaat al. '

Ik heb nu dit:

PHP

$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'"));
$test1 = mysql_num_rows($test);
if ($nieuwe != $test1){
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'");
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'");
echo 'Je familie naam is succesvol geupdate';
}

Maar dat werkt niet.

Dein · 6 December 2011

PHP

$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'")); 
$test1 = mysql_num_rows($test); 
if ($nieuwe != $test1->naam){ 
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}

Toon Meer

strafeness1 · 6 December 2011

Werkt niet voor mij.

Dit is mijn helescript:

PHP

<?


$error = '0';
$familie = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `owner`='$data->login'"));
$user = mysql_fetch_object(mysql_query("SELECT * FROM `users` WHERE `familie`='$data->familie'"));
$user1 = mysql_fetch_object(mysql_query("SELECT * FROM `users` WHERE `id`='$data->id'"));


if ($user1->familie == ""){
$error = '1';
}


if ($data->familie == $familie->naam && $familie->owner == $data->login){
if (isset($_POST['submit'])){
if (strlen($_POST['nieuwe_naam']) >3 && (isset($_POST['submit']))){
$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'")); 
$test1 = mysql_num_rows($test); 
if ($nieuwe != $test1->naam){ 
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}
}
}
}
?>		
<div class="title_bg">
			<div class="title">Familie naam veranderen (<? echo $data->familie;?>)</div>
		</div>


		<div style="background-color:#e4dcc5; padding:10px; padding-top:4px;">
		<table cellpadding="0" cellspacing="0" width="100%"><tr><td>
		<table width="100%" class="mod_list" cellspacing="2" cellpadding="2">
<div style="background-color:#e4dcc5; padding:10px; padding-top:4px;">
		<table cellpadding="0" cellspacing="0" width="100%"><tr><td>
					<table>
			<tr>
			</tr>
		</table>
			</td></tr></table>
		</div>
		<tr>
			<td>
	<form method="post">
		<center>
		</tr>
		</center>
		<tr>
			<td>
				<center>
				<input type="textbox" name="nieuwe_naam" id="nieuwe_naam" maxlength="13">
							<br>
				<input type="submit" name="submit" class="mod_submit" value="Verannder familie naam"></center>
				</center>
			</td>
		</tr>
 	</form>
</tr></td></table>
		</div>


		<table width='100%' cellspacing='2' cellpadding='2'>
			<tr>


				<td class='content_bottom'></td>
			</tr>
		</table>
		<br>		</div>
	</td>
	</tr>


	</table>
	</td>

Toon Meer

Dein · 6 December 2011

PHP

$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'")); 
$test1 = mysql_num_rows($test); 
if ($test1 == 0){
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}

Toon Meer

strafeness1 · 6 December 2011

Helaas werkt dat ook niet.

Dein · 6 December 2011

PHP

$nieuwe = $_POST['nieuwe_naam']; 
$test = mysql_fetch_object(mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'"));
if ($test != $nieuwe){
mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'"); 
mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'"); 
echo 'Je familie naam is succesvol geupdate'; 
}
else
{
echo 'Uw gekozen familienaam bestaat al.';
}

Toon Meer

iCold · 6 December 2011

PHP

$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`=".$nieuwe) or die(mysql_error);
$test1 = mysql_num_rows($test);
if ($test == 0){
	mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'");
	mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'");
	echo 'Je familie naam is succesvol geupdate';
} else {
	echo "Deze naam is al bezet";
}

Even wat verander weer

ZiraX · 6 December 2011

Stelletje amateurs :') vooral dein, hoe kun je nou een num rows -> object ophalen ?

PHP

<?php


$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'") or die(mysql_error());
$test1 = mysql_num_rows($test);
if ($test1 <= 0){
    mysql_query("UPDATE `users` SET `familie`='".$_POST['nieuwe_naam']."' WHERE `familie`='".$user->familie."'");
    mysql_query("UPDATE `families` SET `naam`='".$_POST['nieuwe_naam']."' WHERE `naam`='".$familie->naam."'");
    echo 'Je familie naam is succesvol geupdate';
} else {
    echo "Deze naam is al bezet";
}
?>

Toon Meer

Dein · 6 December 2011

Heb er maar met een scheve kop naar gekeken, had het achteraf ook wel gezien,...
Ik zou dit trouwens totaal anders doen, maar dat is mijn mening.
Veilig is het ook zeker niet omdat je zomaar $nieuwe in je database zet!

strafeness1 · 6 December 2011

Bedankt voor jullie antwoorden.

Dein, hoe kan ik het dan wel veilig in mijn database zetten?

iCold · 6 December 2011

Amateurs? Ik gebruik geen object?

ZiraX · 6 December 2011

Zelfs jij Silverstar, je roept $test op voor de rows counting.. terwijl je $test1 nodig hebt?

iCold · 6 December 2011

Pff ik was op school en deed het snel. Dat is niet amateuristisch. je ziet gewoon iets kleins over het hoofd. kan iedereen gebeuren als ie het snel doet en niet controlleerd

Dein · 6 December 2011

Citaat van strafeness1

Bedankt voor jullie antwoorden.

Dein, hoe kan ik het dan wel veilig in mijn database zetten?

htmlspecialchars() is al een goed begin.

ZiraX voor die fout mag jij mij een amateur noemen, had het sneller moeten zien. :sst:

ZiraX · 7 December 2011

Btw. htmlspecialchars? waarom niet mysql_real_escape_string? of in geval van mysqli mysqli_real_escape_string($con, $POST);

@Silver,
I'm sorry:')

Dein,
Haha, klopt :')

Dein · 7 December 2011

mysql_real_escape_string:

Citaat

Escapes special characters in a string for use in an SQL statement

htmlspecialchars:

Citaat

Convert special characters to HTML entities

Mijn voorkeur gaat meer uit naar htmlspecialchars, myqsl_real_escape_string is even goed.

Darsstar · 7 December 2011

mysql_real_escape_string is goed, htmlspecialchars/htmlentities totaal niet! htmlspecialchars/htmlentities gebruik je om tekst die HTML kan bevatten veilig tussen andere HTML te stoppen. mysql_real_escape_string gebruik je om tekst die SQL kan bevatten veilig tussen andere SQL te stoppen.

Welke je moet gebruiken hangt dus van de situatie af.

Dein · 7 December 2011

Klopt, maar als ik bijv. in het formulier: AND bank = bank + 100000 doe in htmlspecialchars word = en het + teken vervangen, dus is de SQL code onbruikbaar.

Daarom dat ik zei is even goed, kan het ook mis hebben, dan hoor ik dat graag ;).

Darsstar · 8 December 2011

Zelfs htmlentities vervangt die tekens niet. htmlspecialchars, mysql_real_escape_string etc zijn functies om data te sanitizen, als je niet ook nog aan valideren doet ben je verkeerd bezig.
Valideer de correctheid van de data die je ontvangt. Die query zou niet eens uitgevoerd mogen worden als iemand AND bank = bank + 1000000 invoert.

Dein · 8 December 2011

As I said, dit script mist nog veel belangrijke punten, maar ik ga me niet bezig houden om elk script dat hier passeert onder de loep te nemen :P.

Elke input = onveilig , al moeten dat hier nog veel leren :hmm:

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

Familienaam checken op bestaandheid

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen