Goedendag leden,
Nu ik bezig ben met een game, heb ik een vraag.
Is er een mogelijkheid om een sql query
(SELECT * FROM GEBRUIKERS WHERE gebruikersnaam=naam)
in deze form te zetten
bijvoorbeeld ik wil van gebruiker piet, waarvan alles geselecteerd is weten wat zijn bankgeld is.
en ik wil het zo echo $query['bankgeld'];
is dat mogelijk, en kan iemand vertellen hoe deze methode heet, zodat ik er een tutorial over kan volgen. Of hier ff een duidelijke uitleg over maakt.
m.v.g, Alien!
Neem aan dat de gebruiker een login heeft, in dat geval kan je zoeken op de sessie/cookie, die sessie/cookie zit neem ik aan verbonden met zijn gegevens?
Ja dat klopt, ik heb enkeld de opbouw van de query geplaatst.
Maar ik wil het volgende:
sql query
$gebruikersnaam = SESSIEWAARDE
$sql = mysql_query("SELECT * FROM gebruikers WHERE gebruikersnaam = '$gebruikersnaam')";en dan gegevens zo er uit te halen
bankgegevens van $gebruikersnaam ophalen:
Volgens mij kann dat met mysql_fetch_array, maar is dit dan veilig?
Ik heb gehoord dat je met fetch_-type- makkelijk gehackt kan worden..
edit;
het is gelukt;
ik heb nu:
sql query:
$gebruiker_sql = mysql_query("SELECT * FROM `gebruikers` WHERE gebruikersnaam = 'john'");
$gebruiker = mysql_fetch_array($gebruiker_sql, MYSQL_ASSOC);gegevens halen:
Ik zou sowieso niet alles zomaar naar de database sturen, en uiteraard ook andersom vertrouw de input/output NOOIT!
Dat je met een object gehackt kan worden is natuurlijk onzin, het is altijd de programmeur die de fouten maakt en niet de functies.
Hoe ik het zou doen:
<?PHP
$username = mysql_real_escape_string($_SESSION["gebruiker"]);
$Query = "SELECT * FROM gebruikers WHERE gebruikersnaam = '" . $username . "'"; //Je gebruikt nu een Wildcard (*) zorg dat je alleen roept wat nodig is.
if($result = mysql_query($Query)) {
//De Query is in orde, geen gekke dingen gevonden.
if(mysql_num_rows($result) > 0) {
//De tabel heeft waarde gevonden bij de sessie
$user = mysql_fetch_assoc($result); //Kan ook array zijn
//Nu kan je de bankgeld weergeven
echo $user['bankgeld'];
}
else {
//De tabel heeft geen waarde gevonden bij de sessie
echo 'Could not collect information';
}
}
else {
//De query bevat fouten, voor jezelf kan je debuggen maar zou het niet voor bezoekers doen
echo 'Query error, could not retreive information';
}Je gebruikt beter een PDO http://php.net/manual/en/book.pdo.php
maar voor zover ik weet is de fetch_array niet meer of minder hack-able dan een andere query functie.
Gewoon altijd zorgen dat je goed filtered van input data!
Quitta
Met PDO kan je net zoveel fouten maken, maakt dus niet uit wat je gebruikt.
PDO heeft meerdere engines als ik me niet vergis, welke als nog over: mysql, mysqli enzovoort zal gaan.
Maar je kan er wel leuke dingen mee doen, raad het dus niet af om te gebruiken.
@Fils
ik zou u script gebruiken, bedankt voor de duidelijkheid.
Heb je nog geen account? Registreer je nu en word deel van onze community!