PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
M

Tekst veilig de Database in

Door Marije op 28-03-2006 18:36
2.329 views
Hoi,

Ik heb een nieuwsscript maar de tekst die de gebruiker in het CMS kan invoeren wordt niet gechecked voordat het de DATABASE ingaat. Ik heb gehoord dat dat kan zorgen voor grote problemen.
Iemand een scriptje hoe ik eerst kan checken of de tekst geen rare SQL queries bevat?

dankje!

Marije
M
Marije
28-03-2006 20:34
uhm de query van lapidi werkt volgens mij niet hoor :D
ten minste? ben ik nou gek?
M
Marije
28-03-2006 20:40 gewijzigd op 28-03-2006 20:40
dubbel sorry :)
Pieter van Linschoten
28-03-2006 20:43
Wat is de rede voor jou dubbele verontschuldiging?

Ben dan je toch gek? Of werkt mij query echt niet? ;)
M
Marije
28-03-2006 20:45
sorry ik bedoelde dubbele post :)
en bij mij werkt de query niet. Ik hoop niet dat ik echt gek wordt ;)

bij jou werkt hij wel?
- SanThe -
29-03-2006 14:28
Marije schreef op 28.03.2006 20:22
Parse error: parse error, unexpected ';' in /home/users/conceftp/conceptm.nl/freevoice2/fvbeheer/pages/00nieuws.php on line 68


veroorzaakt door deze code :

if ($_GET[show] == "add" || $_POST["show"] == "add")
{
if ($_POST["titel"] && $_POST["msg"] && $_POST["mydate"] && $_POST["kop"])
{

$sql = "INSERT INTO nieuws (id, titel, msg, datum, kop) VALUES ('', '" . safeMysqlInput( $_POST['titel'] ) ."', '" . safeMysqlInput( $_POST['msg'] . "', '" . safeMysqlInput( $_POST['mydate'] . "', '" . safeMysqlInput( $_POST['kop'] . "')";

$res = mysql_query($sql);



$sql = "INSERT INTO nieuws (id, titel, msg, datum, kop) VALUES ('', '" . safeMysqlInput( $_POST['titel'] ) ."', '" . safeMysqlInput( $_POST['msg'] ) . "', '" . safeMysqlInput( $_POST['mydate'] ) . "', '" . safeMysqlInput( $_POST['kop'] ) . "')";
M
Marije
29-03-2006 20:22
hij werkt bij mij :)

Reageren

Inloggen om te reageren