Nogmaals quotes

Door Red Crew op 12-06-2006 22:00

814 views

Ik ben al mijn huidige code aan het omzetten naar code met enkele quotes aan de buiten kant.
Maar met mijn sql lijn heb ik een probleempje mijn docent PHP had gezegd dat bij de waardes enkele quotes moesten staan. Maar als ik op deze lijn de buitenste quotes omzet naar enkele krijg in een parse error.
Ik heb de juiste manier gevonden maar ik zoek even een verklaring.
Kan iemand mij een verklaring geven waarom juist ?


		$sql2 = 'INSERT INTO dvd';
		$sql2 .= ' ( naam, genre_id, foto, omschrijving, regisseur_id, speelduur )';
		$sql2 .= ' VALUES';
		$sql2 .= " ( '".$naam."', '".$genre_id."', '".$foto."', '".$omschrijving."', '".$regisseur_id."', '".$speelduur."' );";

		$result4 = mysql_query( $sql2 );

		$sql2 = 'INSERT INTO dvd';
		$sql2 .= ' ( naam, genre_id, foto, omschrijving, regisseur_id, speelduur )';
		$sql2 .= ' VALUES';
		$sql2 .= ' ( '.$naam.', '.$genre_id.', '.$foto.', '.$omschrijving.', '.$regisseur_id.', '.$speelduur.' );';

		$result4 = mysql_query( $sql2 );
?>

Red Crew

12-06-2006 22:50

@Frank is eigenlijk al heel wet netter :)

Ik had mijn sql al opgesplits in 3 regels om het wat duidelijker te hebben, vroeger typte ik alles achter elkaar.

Helemaal onleesbaar.

Jan Koehoorn

12-06-2006 22:51

RedCrew schreef op 12.06.2006 22:48
@Jan: Bij de _id gaat het inderdaad om INT's die de user niet zelf kunnen intypen kiezen uit een dropdown menu.
Ja inderdaad bij uw versie is er iets minder typwerk dus ook minder kans op typfouten. Laat jij daarom de enkele quotes ook weg bij de _id, omdat het geen eigen input van user is ?

Nee, het hangt af van het datatype. Omdat dit veld als een integer (een geheel getal) in de db opgeslagen moet worden horen er geen quotes om, want die maken er een string van.

Red Crew

12-06-2006 22:53

@Klaasjan: ik gebruikte vroeger overal dubbele quotes en escapte alles.

Nu had frank me eergisteren in het kort uitgelegd dat je de PHP omring met enkele quotes.

Maar bij mijn SQL wist ik dat erom mijn input enkele quotes moeten staan om de userinput te beveiligen.

Alleen toen ik de buitenste dubbele quotes veranderde naar enkele quotes kreeg ik opeens een parse error ik probeer ondertussen wat bij te leren uit mijn fouten

Jan Koehoorn

12-06-2006 22:55

Er zijn in PHP twee manieren om vars buiten de quotes te halen. In niet-MySQL begin je met enkele quotes. In MySQL begin je met dubbele quotes.

PHP Newbie

12-06-2006 22:56

[quote=Red
...

@PHP_Newbie: jouw uitleg snap ik niet compleet ?[/quote]

zie edit

Frank -

12-06-2006 22:57

RedCrew schreef op 12.06.2006 22:48
@Jan: Bij de _id gaat het inderdaad om INT's die de user niet zelf kunnen intypen kiezen uit een dropdown menu.

Zal ik jouw database dan even naar de ***beep*** helpen? Jij maakt een html-formulier aan, maar jij stuurt deze naar mijn browser. Dit formulier kan ik dus volledig naar eigen inzicht aanpassen. Op deze manier kan ik eenvoudig corrupte data jouw database injagen.

Kijk eens tussen de reacties op dit script. Hier was ook sprake van formulieren met dropdown lijsten die niet konden worden aangepast...

Conclusie: controleer of de input wel echt nummeriek is.

Red Crew

12-06-2006 23:06

@PHP_Newbie: got it :)

@Frank: neen ik beweer niet dat mijn script onhackbaar is daar zitten veel gaten in maar je moet de deur ook niet opzetten en roepen hey kom alles ff overhoop gooien :)

Er zitten ondertussen al heel wat controles in.
Ik ben eerst bezig met het maken van wat scripts vooralleer ik aan mijn online e-cataloog van de winkel begin.
Ik weet al iets van beveiliging maar de complete beveiliging moet nog komen. BTW de is sowieso ook al dat er alleen kan producten toegevoegd (op dit moment zijn het wel ,geen artikelen) worden door mensen die je zelf uitkiest. en die dan moeten ingelogd zijn mbv sessies in combinaties met cookies en een fingerprint hash. Maar dat zijn zorgen voor later, als ik de basis weer wat beter kan. Ik probeer eerst te kruipen dan te mij recht te trekken en dan te lopen.

Reageren

Inloggen om te reageren