Familienaam checken op bestaandheid

xize

Probeer dit script eens

PHP

<?php
include "config.php";
$nieuwe = $_POST['nieuwe_naam'];
$nieuwe = mysql_real_escape_string($nieuwe);
if(isset($nieuw)) {
	$query = mysql_query("SELECT * FROM families WHERE naam='" . $nieuw . "'");
	$test = mysql_fetch_array($query);
	if ($nieuw != $test['naam']){
		mysql_query("UPDATE users SET familie='" . $_POST['nieuwe_naam'] . "' WHERE familie='" . $user->familie . "'");
		mysql_query("UPDATE families SET naam='" . $_POST['nieuwe_naam'] . "' WHERE naam='" . $familie->naam . "'");
		echo "Je familie naam is succesvol geupdate";
		die();
	} else {
		echo "De famillie naam " . $nieuw . " bestaat al.";
		die();
	}
} else {
	echo "maak hier de textvelden aan";
	die();
}
?>

Toon Meer

overigens heb ik nog even verder naar het script gekeken maar ik raad sterk aan om geen mysql_fetch_object te gebruiken maar mysql_fetch_array;)

overigens weet ik niet hoe het zit met de overige mysql querys waar ik express nog maar de $user->familie en de $user->naam heb laten staan, ook heb ik de num_rows weggehaalt omdat ik niet duidelijk zag waarom die er tussen stont.

voor extra beveiliging is misschien ook handig om te weten dat mysql_real_escape_string wel enkele dingen doet maar zeker niet alle tekens blockeerd hiervoor dient u een specialen array op te maken die vervolgens met foreach en strpos alles naloopt in de post.

PHP

<?php
include "config.php";
$filter = array(
	'#~#ius',
	'#!#ius',
	'#@#ius',
	'#$#ius',
	'#%#ius',
	'#^#ius',
	'#&#ius',
	'#*#ius',
	'#(#ius',
	'#)#ius',
	'#-#ius',
	'#+#ius',
	'#=#ius',
	'#[#ius',
	'#]#ius',
	'#{#ius',
	'#}#ius',
	'#|#ius',
	'#.#ius',
	'#<#ius',
	'#>#ius',
	'#DROP#ius'
);
foreach($filter as $badchar) {
	if(strpos($_POST['nieuwe_naam'], $badchar)) {
		echo "This attempt has been blocked.";
		die();
	}
}
$nieuwe = $_POST['nieuwe_naam'];
$nieuwe = mysql_real_escape_string($nieuwe);
if(isset($nieuw)) {
	$query = mysql_query("SELECT * FROM families WHERE naam='" . $nieuw . "'");
	$test = mysql_fetch_array($query);
	if ($nieuw != $test['naam']){
		mysql_query("UPDATE users SET familie='" . $_POST['nieuwe_naam'] . "' WHERE familie='" . $user->familie . "'");
		mysql_query("UPDATE families SET naam='" . $_POST['nieuwe_naam'] . "' WHERE naam='" . $familie->naam . "'");
		echo "Je familie naam is succesvol geupdate";
		die();
	} else {
		echo "De famillie naam " . $nieuw . " bestaat al.";
		die();
	}
} else {
	echo "maak hier de textvelden aan";
	die();
}
?>

Toon Meer

je kan natuurlijk ook een nog sterkere beveiliging maken met

PHP

preg_replace("/[^a-zA-Z0-9\s]/", " ", $nieuwe);

Met vriendelijke groet,

xize

ZiraX

Xize,

wat een onzin lul je toch allemaal,

Mysql_Real_Escape_String, escaped de complete invoer, geen injectie is hierdoor nog mogelijk, Dus je scriptje met je filter array is niet nodig.

Ook heb je het stukje bovenaan de pagina helemaal verkeerd, waarom zou je een query maken, alles oproepen en dan $nieuw != $oud['naam'] ???

MYSQL_NUM_ROWS is voldoende, geen rij, geen bekendheid.
Wel een bekende rij, familie bestaat al.

Waar hebben jullie leren scripten ?

L.Groot

ZiraX,
Tegen andere injections zou ik voor de zekerheid [func]strip_tags[/func] er nog wel overheen gooien ;). Kost bijna geen extra load en maakt je script er wel veiliger op. Alleen [func]mysql_real_escape_string[/func] is dus niet goed maar die array replace van xize is overbodige rompslomp. Gewoon vervangen met [func]strip_tags[/func] en eventueel [func]htmlentities[/func] of htmlspecialchars().

Darsstar

Alleen mysql_real_escape_string() is goed voor wanneer je iets in de database wilt zetten. Wanneer je user input in html wilt zetten gebruik je functies als strip_tags/htmlspecialchars/htmlentities.

Dat is de goede werkwijze.

Dein

PHP

<?php


$nieuwe = $_POST['nieuwe_naam'];
$test = mysql_query("SELECT * FROM `families` WHERE `naam`='".$nieuwe."'") or die(mysql_error());
$test1 = mysql_num_rows($test);
if ($test1 <= 0){
    mysql_query("UPDATE `users` SET `familie`='".mysql_real_escape_string($_POST['nieuwe_naam'])."' WHERE `familie`='".$user->familie."'");
    mysql_query("UPDATE `families` SET `naam`='".mysql_real_escape_string($_POST['nieuwe_naam'])."' WHERE `naam`='".$familie->naam."'");
    echo 'Je familie naam is succesvol geupdate';
} else {
    echo "Deze naam is al bezet";
}
?>

Toon Meer

Darsstar heeft gelijk! Dit is het veilige script.

strafeness1

Oke, heel erg bedankt voor jullie reacties.

ICTscripters

Dé plek voor IT

Dé plek voor IT

Ictscripters Chat

Help testers nodig voor android app Urgent

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Afspraken systeem met planbeperking

Developer Gezocht

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Op zoek naar de legends

[FREE] WeFact Hosting module

Heel wat sterke domeinen > 2 letters, 3 letters, premiums

367 Nieuwe Domeinnamen Februari 2026

Meerdere mafia game template te koop

Familienaam checken op bestaandheid

Participate now!

Samsung zal miljoenen verdienen aan Apple iPhone Fold dankzij zijn 12GB RAM

Apple heeft zojuist iOS 26.4 Beta 4 vrijgegeven: hier is de verwachte lanceerdatum.

Kritieke kwetsbaarheid in Nginx UI bedreigt gevoelige data

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2