Wat is beter?

Door Jordi Kroon op 10-10-2011 15:58

2.930 views

Even een kleine discussie.

Wij hebben een leraar.

Hij zegt het volgende:

<?php
// goed
$naam = $_POST['naam'];
$_SESSION['naam'] = $naam;

//fout
$_SESSION['naam'] = $_POST['naam'];

?>

Citaat: Als je dit op een toets doet (de foute manier) dan krijg je een onvoldoende
Wat zeggen jullie

- SanThe -

11-10-2011 19:44 gewijzigd op 11-10-2011 19:45

@Jordi: Als ik jouw code zou beoordelen is dat een dikke onvoldoende. En dan heb ik het niet over de extra variabele $naam. Beide if()'s zijn niet correct en je script zal dan ook niet juist werken. En je formulier heeft onjuiste syntax (in dit geval verkeerde quotes).

Wouter J

11-10-2011 20:22

Ik stop _POST vars voor een query ook altijd in een var. Simpelweg omdat het anders veel te onduidelijk wordt:
<?php

$sQuery = "SELECT name, pass FROM users WHERE name = '".mysql_real_escape_string((string) $_POST['naam'])."' AND id = ".(int) $_POST['id'];

// Dan vind ik dit beter
$name = mysql_real_escape_string((string) $_POST['naam']);
$id = (int) $_POST['id'];
$sQuery = "SELECT name, pass FROM useres WHERE name = '".$name."' AND id = ".$id;

?>

Ozzie PHP

11-10-2011 20:27

$id = (int) $_POST['id'];

Als ik nu in het formulier als id "hoi" opgeef, dan wordt dit omgezet naar het cijfer 1. Beter is om te controleren of $_POST['id'] een numerieke waarde bevat. Ja, doorgaan... nee, afbreken.

- SanThe -

11-10-2011 20:29 gewijzigd op 11-10-2011 20:29

Dan vind ik dit weer duidelijker:

<?php
$sQuery = "SELECT name, pass
FROM users
WHERE name = '".mysql_real_escape_string((string) $_POST['naam'])."'
AND id = ".(int) $_POST['id'];
?>

[size=xsmall]Toevoeging op 11/10/2011 20:34:47:[/size]

Ozzie PHP op 11/10/2011 20:27:06

$id = (int) $_POST['id'];

Als ik nu in het formulier als id "hoi" opgeef, dan wordt dit omgezet naar het cijfer 1. Beter is om te controleren of $_POST['id'] een numerieke waarde bevat. Ja, doorgaan... nee, afbreken.

Geen 1 maar 0.

Ozzie PHP

11-10-2011 20:53

correct, was even in de war met een boolean. Thanks voor de correctie.

Jelmer -

11-10-2011 20:57

Volgens mij heb je die string cast niet nodig. mysql_real_escape_string interpreteert dat argument altijd als string.

Je kan ook sprintf gebruiken, %d zorgt er dan voor dat het een int is, en niets anders.
<?php
$sQuery = sprintf("SELECT name, pass FROM users WHERE name = '%s' AND id = %d",
mysql_real_escape_string($_POST['naam']), $_POST['id']);
?>

Jordi Kroon

11-10-2011 22:00 gewijzigd op 11-10-2011 22:03

@Santhe ik heb het zelf niet getest en eigenlijk eventjes snel snel in elkaar gestoken. ik weet dat php het beste met ' kan en html het beste met " voor escapen te voorkomen.

Kan je ook vertellen wat ik niet goed doe bij de if's?

Wouter J

11-10-2011 22:11

!$error kijkt of error false terug geeft, nu is 0 of '' natuurlijk wel gelijk aan false, het is toch niet zo. Een juiste methode is dit:
<?php
if( count($error) < 1 )
{
// geen fouten
}
?>

Jordi Kroon

11-10-2011 22:17

!$error = lege array
$error = array met waarde
die kan je dan met een foreach doorlopen

- SanThe -

11-10-2011 22:45

Inderdaad Wouter.

En if(!strlen($naam) <5 || !strlen($naam) > 20) betekent als $naam NIET kleiner is dan 5 of NIET groter dan 20. Dit geeft altijd een error behalve als $naam = ''.

Reageren

Inloggen om te reageren