Familienaam checken op bestaandheid

xize

Probeer dit script eens

PHP

<?php
include "config.php";
$nieuwe = $_POST['nieuwe_naam'];
$nieuwe = mysql_real_escape_string($nieuwe);
if(isset($nieuw)) {
	$query = mysql_query("SELECT * FROM families WHERE naam='" . $nieuw . "'");
	$test = mysql_fetch_array($query);
	if ($nieuw != $test['naam']){
		mysql_query("UPDATE users SET familie='" . $_POST['nieuwe_naam'] . "' WHERE familie='" . $user->familie . "'");
		mysql_query("UPDATE families SET naam='" . $_POST['nieuwe_naam'] . "' WHERE naam='" . $familie->naam . "'");
		echo "Je familie naam is succesvol geupdate";
		die();
	} else {
		echo "De famillie naam " . $nieuw . " bestaat al.";
		die();
	}
} else {
	echo "maak hier de textvelden aan";
	die();
}
?>

Toon Meer

overigens heb ik nog even verder naar het script gekeken maar ik raad sterk aan om geen mysql_fetch_object te gebruiken maar mysql_fetch_array;)

overigens weet ik niet hoe het zit met de overige mysql querys waar ik express nog maar de $user->familie en de $user->naam heb laten staan, ook heb ik de num_rows weggehaalt omdat ik niet duidelijk zag waarom die er tussen stont.

voor extra beveiliging is misschien ook handig om te weten dat mysql_real_escape_string wel enkele dingen doet maar zeker niet alle tekens blockeerd hiervoor dient u een specialen array op te maken die vervolgens met foreach en strpos alles naloopt in de post.

PHP

<?php
include "config.php";
$filter = array(
	'#~#ius',
	'#!#ius',
	'#@#ius',
	'#$#ius',
	'#%#ius',
	'#^#ius',
	'#&#ius',
	'#*#ius',
	'#(#ius',
	'#)#ius',
	'#-#ius',
	'#+#ius',
	'#=#ius',
	'#[#ius',
	'#]#ius',
	'#{#ius',
	'#}#ius',
	'#|#ius',
	'#.#ius',
	'#<#ius',
	'#>#ius',
	'#DROP#ius'
);
foreach($filter as $badchar) {
	if(strpos($_POST['nieuwe_naam'], $badchar)) {
		echo "This attempt has been blocked.";
		die();
	}
}
$nieuwe = $_POST['nieuwe_naam'];
$nieuwe = mysql_real_escape_string($nieuwe);
if(isset($nieuw)) {
	$query = mysql_query("SELECT * FROM families WHERE naam='" . $nieuw . "'");
	$test = mysql_fetch_array($query);
	if ($nieuw != $test['naam']){
		mysql_query("UPDATE users SET familie='" . $_POST['nieuwe_naam'] . "' WHERE familie='" . $user->familie . "'");
		mysql_query("UPDATE families SET naam='" . $_POST['nieuwe_naam'] . "' WHERE naam='" . $familie->naam . "'");
		echo "Je familie naam is succesvol geupdate";
		die();
	} else {
		echo "De famillie naam " . $nieuw . " bestaat al.";
		die();
	}
} else {
	echo "maak hier de textvelden aan";
	die();
}
?>

Toon Meer

je kan natuurlijk ook een nog sterkere beveiliging maken met

PHP

preg_replace("/[^a-zA-Z0-9\s]/", " ", $nieuwe);

Met vriendelijke groet,

xize

ZiraX

Xize,

wat een onzin lul je toch allemaal,

Mysql_Real_Escape_String, escaped de complete invoer, geen injectie is hierdoor nog mogelijk, Dus je scriptje met je filter array is niet nodig.

Ook heb je het stukje bovenaan de pagina helemaal verkeerd, waarom zou je een query maken, alles oproepen en dan $nieuw != $oud['naam'] ???

MYSQL_NUM_ROWS is voldoende, geen rij, geen bekendheid.
Wel een bekende rij, familie bestaat al.

Waar hebben jullie leren scripten ?

L.Groot

ZiraX,
Tegen andere injections zou ik voor de zekerheid [func]strip_tags[/func] er nog wel overheen gooien ;). Kost bijna geen extra load en maakt je script er wel veiliger op. Alleen [func]mysql_real_escape_string[/func] is dus niet goed maar die array replace van xize is overbodige rompslomp. Gewoon vervangen met [func]strip_tags[/func] en eventueel [func]htmlentities[/func] of htmlspecialchars().

Darsstar

Alleen mysql_real_escape_string() is goed voor wanneer je iets in de database wilt zetten. Wanneer je user input in html wilt zetten gebruik je functies als strip_tags/htmlspecialchars/htmlentities.

Dat is de goede werkwijze.

Dein

PHP

<?php


$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'") or die(mysql_error());
$test1 = mysql_num_rows($test);
if ($test1 <= 0){
    mysql_query("UPDATE `users` SET `familie`='".mysql_real_escape_string($_POST['nieuwe_naam'])."' WHERE `familie`='".$user->familie."'");
    mysql_query("UPDATE `families` SET `naam`='".mysql_real_escape_string($_POST['nieuwe_naam'])."' WHERE `naam`='".$familie->naam."'");
    echo 'Je familie naam is succesvol geupdate';
} else {
    echo "Deze naam is al bezet";
}
?>

Toon Meer

Darsstar heeft gelijk! Dit is het veilige script.

strafeness1

Oke, heel erg bedankt voor jullie reacties.

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Van een pixelige afbeelding naar een strakke, moderne website

Familienaam checken op bestaandheid

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2