Beveiliging function

Luc

Beste leden,

Ik wil graag een functie schrijven voor me beveiliging invoer enuitvoer.

Maar ik heb geen idee hoe ik dit zou moeten doen. Want de beveiliging invroer word voor de $_POST of $_GET gezet en word dus pas achter de post/get gesloten. Ik heb zelf dit bedacht:

PHP

function beveiliginginvoer() {
mysql_real_escape_string(htmlspecialchars(addslashes(
}

Maar deze werkt natuurlijk niet. Hopelijk kan en van jullie me vertellen hoe ik het moet doen.

Met vriendelijke groet,

Luc

Jannick

$variabele = beveiliginginvoer($_POST['chocola']);
Zoiets, lijkt me dan toch?

PHP

function beveiliginginvoer($witbier) {
mysql_real_escape_string(htmlspecialchars(addslashes($witbier)));
return $witbier;
}

VInd die haakjes best irritant op zich, weet niet zeker of het werkt...
en anders:

PHP

function beveiliginginvoer($witbier) {
$witbier = mysql_real_escape_string($witbier);
$witbier = htmlspecialchars($witbier);
$witbier = addslashes($witbier);
return $witbier;
}

Luc

Oke dankje, ik heb nu alleen een probleem hij voert deze niet uit:

PHP

$titel = beveiliginginvoer($_POST['titel']);
		$bericht = beveiliginginvoer($_POST['message']);
		mysql_query("INSERT INTO helpdesk(title,door,date,vraag) values('".$titel."','".$speler['gebruikersnaam']."','".(date("Y-m-d")),"','".$bericht."') or die(mysql_error())");

Hij geeft alleen geen error:S

Jannick

PHP

'".(date("Y-m-d")),"'

veranderen in

PHP

'" . date("Y-m-d") . "'

Typo's

Luc

Nee pakt hij ook niet sorry,

Ik zal eens kijken of he wel aan date ligt.

Darsstar

1) mysql_real_escape_string() en addslashes() is dubbel, dus onnodig (en dom als je het mij vraagt)
2) htmlspecialchars() gebruik je pas wanneer je iets wilt echoen/printen dus niet wanneer je iets in de database wilt zetten
3)

PHP

') or die(mysql_error())");

moet

PHP

'") or die(mysql_error());

worden
4) alleen mysql_real_escape_string() is het enige wat je in deze situatie wilt gebruiken

Verder zou je mysqli/PDO kunnen gebruiken en waardes kunnen binden (zoek naar een functie met "bind" in de naam).
Dan hoef jij het zelf niet meer te beveiligen.

Luc

Ik gebruik al mysqli Maar voer hier expres weer mysql_query in enzo, zodat mensen niet in de verwarring komen ( de meeste hier hebben nog geen verstand van mysqli)

Ik zal eens zoeken naar bind. En verder zal ik het doen zoals jij het zegt.

Met vriendelijke groet,

Luc

Edit:

bedoelde u dit?:
http://nl3.php.net/manual/en/mysqli-stmt.bind-result.php

Darsstar

Ik dacht eerder aan een dan de volgende drie:
http://nl3.php.net/manual/en/mysqli-stmt.bind-param.php
http://nl3.php.net/manual/en/pdostatement.bindvalue.php
http://nl3.php.net/manual/en/pdostatement.bindparam.php

Luc

Dit is wel veel werk om het even weer om te bouwen. En snap er verder ook nog vrij weinig van dus even me vraag:

PHP

$bres = connectie()->query("SELECT * FROM helpdesk WHERE ID='".$jouwvraag."' AND door='".$speler['gebruikersnaam']."'");
$jouw = $bres->fetch_assoc();

Hoe moet dit dan met behulp van dat bind enzo veilig worden zodat wanneer iemand ook maar <script> ofzo gebruikt heeft het veilig is.

Nieuwe reactie samengevoegd met originele reactie op 30.10.09 17:40:02:
ik heb zelf dit gedaan:

$bres = connectie()->prepare("SELECT * FROM helpdesk WHERE ID='".$jouwvraag."' AND door='".$speler['gebruikersnaam']."'");
$bres->execute();
$bres->bind_result();
$jouw = $bres->fetch_assoc();

Maar krijg deze errors:

Warning: Wrong parameter count for mysqli_stmt::bind_result() in /home/onenat/public_html/luc/maan/helpdesk.php on line 92

Fatal error: Call to undefined method mysqli_stmt::fetch_assoc() in /home/onenat/public_html/luc/maan/helpdesk.php on line 93

Ik snap er egt vrij weinig van hoe dit moet werken kan iemand me helpen?

ICTscripters

Dé plek voor IT

Dé plek voor IT

Het Grote Vibe Code Topic

PWYL source gezocht

Ictscripters Chat

Help testers nodig voor android app Urgent

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Afspraken systeem met planbeperking

Developer Gezocht

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Sicarras.com - Moderne Mafia Text-Based RPG

AnimatieActiviteiten.be – Dé autoriteit in de recreatiesector

333 Nieuwe Domeinnamen Maart 2026

Beveiliging function

Participate now!

Nebius kondigt bouw aan van een van Europa's grootste datacenters

Samsung zal miljoenen verdienen aan Apple iPhone Fold dankzij zijn 12GB RAM

Apple heeft zojuist iOS 26.4 Beta 4 vrijgegeven: hier is de verwachte lanceerdatum.

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken