Beveiliging function

Luc

Beste leden,

Ik wil graag een functie schrijven voor me beveiliging invoer enuitvoer.

Maar ik heb geen idee hoe ik dit zou moeten doen. Want de beveiliging invroer word voor de $_POST of $_GET gezet en word dus pas achter de post/get gesloten. Ik heb zelf dit bedacht:

PHP

function beveiliginginvoer() {
mysql_real_escape_string(htmlspecialchars(addslashes(
}

Maar deze werkt natuurlijk niet. Hopelijk kan en van jullie me vertellen hoe ik het moet doen.

Met vriendelijke groet,

Luc

Jannick

$variabele = beveiliginginvoer($_POST['chocola']);
Zoiets, lijkt me dan toch?

PHP

function beveiliginginvoer($witbier) {
mysql_real_escape_string(htmlspecialchars(addslashes($witbier)));
return $witbier;
}

VInd die haakjes best irritant op zich, weet niet zeker of het werkt...
en anders:

PHP

function beveiliginginvoer($witbier) {
$witbier = mysql_real_escape_string($witbier);
$witbier = htmlspecialchars($witbier);
$witbier = addslashes($witbier);
return $witbier;
}

Luc

Oke dankje, ik heb nu alleen een probleem hij voert deze niet uit:

PHP

$titel = beveiliginginvoer($_POST['titel']);
		$bericht = beveiliginginvoer($_POST['message']);
		mysql_query("INSERT INTO helpdesk(title,door,date,vraag) values('".$titel."','".$speler['gebruikersnaam']."','".(date("Y-m-d")),"','".$bericht."') or die(mysql_error())");

Hij geeft alleen geen error:S

Jannick

PHP

'".(date("Y-m-d")),"'

veranderen in

PHP

'" . date("Y-m-d") . "'

Typo's

Luc

Nee pakt hij ook niet sorry,

Ik zal eens kijken of he wel aan date ligt.

Darsstar

1) mysql_real_escape_string() en addslashes() is dubbel, dus onnodig (en dom als je het mij vraagt)
2) htmlspecialchars() gebruik je pas wanneer je iets wilt echoen/printen dus niet wanneer je iets in de database wilt zetten
3)

PHP

') or die(mysql_error())");

moet

PHP

'") or die(mysql_error());

worden
4) alleen mysql_real_escape_string() is het enige wat je in deze situatie wilt gebruiken

Verder zou je mysqli/PDO kunnen gebruiken en waardes kunnen binden (zoek naar een functie met "bind" in de naam).
Dan hoef jij het zelf niet meer te beveiligen.

Luc

Ik gebruik al mysqli Maar voer hier expres weer mysql_query in enzo, zodat mensen niet in de verwarring komen ( de meeste hier hebben nog geen verstand van mysqli)

Ik zal eens zoeken naar bind. En verder zal ik het doen zoals jij het zegt.

Met vriendelijke groet,

Luc

Edit:

bedoelde u dit?:
http://nl3.php.net/manual/en/mysqli-stmt.bind-result.php

Darsstar

Ik dacht eerder aan een dan de volgende drie:
http://nl3.php.net/manual/en/mysqli-stmt.bind-param.php
http://nl3.php.net/manual/en/pdostatement.bindvalue.php
http://nl3.php.net/manual/en/pdostatement.bindparam.php

Luc

Dit is wel veel werk om het even weer om te bouwen. En snap er verder ook nog vrij weinig van dus even me vraag:

PHP

$bres = connectie()->query("SELECT * FROM helpdesk WHERE ID='".$jouwvraag."' AND door='".$speler['gebruikersnaam']."'");
$jouw = $bres->fetch_assoc();

Hoe moet dit dan met behulp van dat bind enzo veilig worden zodat wanneer iemand ook maar <script> ofzo gebruikt heeft het veilig is.

Nieuwe reactie samengevoegd met originele reactie op 30.10.09 17:40:02:
ik heb zelf dit gedaan:

$bres = connectie()->prepare("SELECT * FROM helpdesk WHERE ID='".$jouwvraag."' AND door='".$speler['gebruikersnaam']."'");
$bres->execute();
$bres->bind_result();
$jouw = $bres->fetch_assoc();

Maar krijg deze errors:

Warning: Wrong parameter count for mysqli_stmt::bind_result() in /home/onenat/public_html/luc/maan/helpdesk.php on line 92

Fatal error: Call to undefined method mysqli_stmt::fetch_assoc() in /home/onenat/public_html/luc/maan/helpdesk.php on line 93

Ik snap er egt vrij weinig van hoe dit moet werken kan iemand me helpen?

ICTscripters

Dé plek voor IT

Dé plek voor IT

Het Grote Vibe Code Topic

Ictscripters Chat

PWYL source gezocht

Help testers nodig voor android app Urgent

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Afspraken systeem met planbeperking

Developer Gezocht

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

370 Nieuwe Domeinnamen April 2026

Snel een website nodig?

Sicarras.com - Moderne Mafia Text-Based RPG

Beveiliging function

Participate now!

Datalek bij leverancier Canvas - Universiteit van Amsterdam

Data privacy in 2026: Hoe de naleving van GDPR verandert

Tech.eu - Europees Start-up, Financiering en Technologienieuws

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken