ik was eerder vandaag bezig om alle gegevens van een bedrijf uit mijn database te halen door middel van een GET id value. nu krijg ik mijn Id wel door alleen kan ik niets terug vinden van de SELECt statement. overigens als ik hem in phpmyadmin runt doet die het wel. heeft iemand miss enig idee?
<?php
$getCompanyId = $_GET['companyid'];
$SQLgetCompany = "SELECT * FROM tb_companies WHERE companyid = $getCompanyId";
$updateResult = mysql_query( $SQLgetCompany ) or die( mysql_error() );
Wat is fout?
- Foutafhandeling mist. Klopt
- Vars binnen quotes. Maakt dit iets uit? Ik haal ze zelf ook altijd buiten quotes, maar is dit niet zoiets als persoonlijke voorkeur?
- Gebruik van 8. Mag ik vragen wat dat is? (A)
- Userimput direct in sql.Klopt
- Onnodig gekopieer van vars.Maakt dit iets uit? Is dit niet zoiets als persoonlijke voorkeur
K was gewoon ff nieuwsgierig :)
?
Onbekende gebruiker
27-02-2009 16:03
brie schreef op 27.02.2009 15:57
[quote='Karl schreef op 27.02.2009 15:38']Wat is fout?
- Foutafhandeling mist. Klopt.
- Vars binnen quotes. Maakt dit iets uit? Ik haal ze zelf ook altijd buiten quotes, maar is dit niet zoiets als persoonlijke voorkeur?Ja, is handiger voor debuggen, dan kan je zien wat er mis is aan de kleurtjes enzo.
- Gebruik van 8. Mag ik vragen wat dat is? (A)Oeps, daar moest * staan, shift te vroeg los gelaten :-).
- Userimput direct in sql.Klopt
- Onnodig gekopieer van vars.Maakt dit iets uit? Is dit niet zoiets als persoonlijke voorkeurNaja, meestal is het zo dat je dingen als $_POST['Blaat'] lekker zo laat als er niks is gebeurt, als je de inhoud hebt getrimt en weetikveelwat dan kan je d'r een nieuwe var van maken. Verder neemt het geheugen in beslag, voor kleine dingen als strings maakt dat niet zoveel uit, maar als je een aantal keer een plaatje gaat kopieren kan je je geheugen lekker vol pompen.
K was gewoon ff nieuwsgierig :)[/quote]
Alstu :-).
[quote='brie schreef op 27.02.2009 15:57'][quote='Karl schreef op 27.02.2009 15:38']Wat is fout?
- Foutafhandeling mist. Klopt.
- Vars binnen quotes. Maakt dit iets uit? Ik haal ze zelf ook altijd buiten quotes, maar is dit niet zoiets als persoonlijke voorkeur?Ja, is handiger voor debuggen, dan kan je zien wat er mis is aan de kleurtjes enzo.
- Gebruik van 8. Mag ik vragen wat dat is? (A)Oeps, daar moest * staan, shift te vroeg los gelaten :-).
- Userimput direct in sql.Klopt
- Onnodig gekopieer van vars.Maakt dit iets uit? Is dit niet zoiets als persoonlijke voorkeurNaja, meestal is het zo dat je dingen als $_POST['Blaat'] lekker zo laat als er niks is gebeurt, als je de inhoud hebt getrimt en weetikveelwat dan kan je d'r een nieuwe var van maken. Verder neemt het geheugen in beslag, voor kleine dingen als strings maakt dat niet zoveel uit, maar als je een aantal keer een plaatje gaat kopieren kan je je geheugen lekker vol pompen.
K was gewoon ff nieuwsgierig :)[/quote]
Alstu :-).[/quote]
Oke ;-)
Maar het is dus niet zo, dat door die dingen die jij zegt zijn script niet werkt.
Zeg dan iig in het vervolg, "ik zie nu niet precies wat er fout is aan je script, maar ik zou dig iig veranderen".
groeten
?
Onbekende gebruiker
27-02-2009 16:24
brie schreef op 27.02.2009 16:19
Maar het is dus niet zo, dat door die dingen die jij zegt zijn script niet werkt.
Zeg dan iig in het vervolg, "ik zie nu niet precies wat er fout is aan je script, maar ik zou dig iig veranderen".
Oke, dingen als onnodig kopieeren van vars is bijvoorbeeld niet zo super belangrijk, maar dingen als foutafhandeling wel.
Dat moet er, vind ik, eerst in.
[quote='brie schreef op 27.02.2009 16:19']Maar het is dus niet zo, dat door die dingen die jij zegt zijn script niet werkt.
Zeg dan iig in het vervolg, "ik zie nu niet precies wat er fout is aan je script, maar ik zou dig iig veranderen".
Oke, dingen als onnodig kopieeren van vars is bijvoorbeeld niet zo super belangrijk, maar dingen als foutafhandeling wel.
Dat moet er, vind ik, eerst in.[/quote]
op het moment dat ik mijn variables post wil ik er eerst voor zorgen dat ze werken zonder enige snufjes voordat SQL-injection tegen ga. Ook maakt het niks uit volgens mij of je * of alle velden apart neerzet alleen maakt het de applicatie langzamer. Zelf ben ik een ASP programmer dus doe ik altijd het tweede. oh wel bedankt nog voor de tip van de enkele quotes van de variablen :)
het probleem was dat ik later in mijn script nog een veld had staan zei empty() al me input velden en die voerde zich na mijn input in de velden uit. maar toch bedankt voor alle reacties
op het moment dat ik mijn variables post wil ik er eerst voor zorgen dat ze werken zonder enige snufjes voordat SQL-injection tegen ga.
Dom, heel erg dom. Je zou de eerste zijn die het voorelkaar krijgt om achteraf de beveiliging in te bouwen, zie de vele, vele, vele dagelijkse voorbeelden van veiligheidslekken. Hoe denk je dat het komt dat er anno 2009 nog steeds zoveel sites worden gehackt? Omdat er achteraf beveiliging is ingebouwd? Ik denk het niet...
Beveiliging en foutafhandeling bouw je als eerste, hoef je ook maar 1x te doen, en vervolgens kun je in al je projecten deze code weer als uitgangspunt nemen. Dat kost je geen extra tijd, integendeel, je wint er onvoorstelbaar veel tijd mee en je kunt in één keer veilige en goede systemen mee bouwen.
ik bedoel niet achteraf van een applicatie. bedoel achteraf nadat mijn eerste variable is overgekomen. voor de rest hangt je post vol sarcasme. en het moet zijn
Hoe denk je dat het komt dat er anno 2009 nog steeds zoveel sites worden gehackt? Omdat er achteraf beveiliging is ingebouwd? Ik dacht het wel...
?
Onbekende gebruiker
27-02-2009 18:56
Rodney schreef op 27.02.2009 17:20
ik bedoel niet achteraf van een applicatie. bedoel achteraf nadat mijn eerste variable is overgekomen.
Lol, dus jij gaat eerst die zooi in een db dumpen en dan gooi je d'r nog effe [php]mysql_real_escape_string[/php] over? Leuk.
Hoe denk je dat het komt dat er anno 2009 nog steeds zoveel sites worden gehackt? Omdat er achteraf beveiliging is ingebouwd? Ik dacht het wel...
Weetje, misschien moet jij eerst eens een cursus Nederlands doen voordat je andere gaat verbeteren. Vereiste is wel dat je de volgende knop op je toetsenbord kent:
Verder snap ik niet waarom je niet gewoon doet wat pgFrank zegt, ten eerste is hij gewoon een autoriteit op het gebied van sql. Hij weet, vind ik en waarschijnlijk wel meer mensen, het meeste van sql af hier op phphulp.
Ten tweede is het totaal onlogisch om het later er nog eens in te gaan bouwen, waarom zou je je twee keer met dezelfde code bezig houden? Je gaat dan dubbel op werken.
Ten slotte, er vinden zoals pgFrank al aangaf genoeg hacks nogsteeds plaats, omdat mensen achteraf beveiliging in wilden bouwen. Je zou maar een var vergeten te beveiligen en hoppatee, je database kan de vernieling in geholpen zijn.
