PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
I

WHERE bij update van tabel

Door Ilja op 18-09-2006 19:58
2.896 views
Hoe kan ik dit oplossen
WHERE tid hij moet het wel in de tabel zetten van tid

$csssql = "UPDATE replys SET bericht=".$_GET['bericht']." naam='".$_GET['edit']." WHERE tid = '" . $_GET['id'] . "'";
Jan Koehoorn
18-09-2006 21:09
Nou, vooruit, ik ben ik een goeie bui:
<?php
if (isset ($_GET['bericht']) {
$bericht = mysql_real_escape_string ($_GET['bericht']);
}
if (isset ($_GET['edit']) {
$edit = mysql_real_escape_string ($_GET['edit']);
}
if (isset ($_GET['id'] && is_numeric ($_GET['id'])) {
$id = intval ($_GET['id']);
}

if (isset ($bericht, $edit, $id)) {
$csssql = "
UPDATE replys
SET
bericht = '" . $bericht . "',
naam = '" . $edit . "'
WHERE tid = " . $id;
if (!mysql_query ($csssql)) {
trigger_error (mysql_error ());
}
}
?>
I
Ilja
18-09-2006 22:40
Hoe zit het trouwens met zoietS:

 $sql = "
        delete replys
        WHERE tid = " .$_GET['deletedereply'];
I
Ilja
18-09-2006 22:41
Hee bedankt trouwens Jan Koehoorn met de goede bui :p
C
Cake Masher
18-09-2006 23:29
Even wat er fout kan gaan (om te leeren):

Als je de inhoud niet controleerd dan kan een gebruiker zo de URL van de pagina veranderen en er komt een ander resultaat in je database.

Bijvoorbeelt als er staat:

admin=0

dat verander ik natuurlijk dan naar 1, en hupla.. ik ben admin.
Daar moet je dus voor uitkijken...
Jan Koehoorn
18-09-2006 23:32
Ilja schreef op 18.09.2006 22:41
Hee bedankt trouwens Jan Koehoorn met de goede bui :p

Ja geen punt hoor.
Terence Hersbach
18-09-2006 23:32
aanvulling op rick,

of nog erger, je hele database kan gedumpt worden en dan ben jij je gegevens kwijt :)
I
Ilja
18-09-2006 23:33
Ja ik snap het maar zowieso kan er verder niemand op die pagina komen dan behalve ikzelf en het script is ook nog in opbouw ik wil er strax ook nog meer beveiligingen in zetten ik hoop dat het lukt het is mijn eerste php script.

maar hoe zit het eigenlijks met Delete ? kan dat dan ook zo? 

 $sql = "
        delete replys
        WHERE tid = " .$_GET['deletedereply'];



Dat werkt niet dus ik denk van niet is daar mischien ook een oplossing voor ?
S
Sjoerd
18-09-2006 23:36
<?php
$sql ="DELETE FROM replys WHERE tid={$_GET['deletedereply']}";
?>

Dit zou ik alleen maar wel goed beveiligen als ik jou was, want nu kan iemand gewoon letterlijk je hele database gaan legen door gewoon wat induviduele cijfertjes in te vullen...
I
Ilja
18-09-2006 23:41
Dat werkt niet echt... Nu verwijderd het script alles er uit

[edit]
Sorry alle berichten staan in 1 database (of hoe je dat ook noemd) Dus dan is het logish dat het allemaal word verwijderd..
[/edit]
S
Sjoerd
18-09-2006 23:43
Vreemd, naar mijn inzien zou ie toch echt alleen maar de tid die je in de titelbalk invoert moeten verwijderen.

Reageren

Inloggen om te reageren