Door
Tim Klein
op 29-12-2013 11:54
gewijzigd op 30-12-2013 10:28
5.665 views
Beste,
Mijn registratiepagina werkt niet.
Wanneer ik een account aanmaak, komt er "done" te staan, maar komt er niets in database.
Mijn register.php ziet er zo uit:
<?php
// maak style aan
include 'include/bgup.php';
?>
<html>
<u>Because of building of the site, All the data can be removed</u>
<table>
<form method="post" name="update" action="update.php" />
<TR><TD>Username:</TD><TD> <input type=text name=username></TD></TR>
<tr><td>Password:</TD><TD> <input type=password name=password></TD></TR><p>
<TR><TD>email:</TD><TD> <input type=text name=email></TD></TR>
<TR><TD><input type="checkbox" name="checkbox" value="Yes" /> Yes, I agree with the <a href="toc.html">Terms Of Conditions</a></TD</TR>
<TR><TD></TD><TD><input type=submit name=submit value=submit></TD></TR></TABLE>
</form></html>
<?php
include 'include/bgdown.php';
?>
De update.php ziet er als volgt uit:
<?php
error_reporting(-1);
//Bovenkant layout ;)
include 'include/bgup.php';
// Maak mysql connectie aan
mysql_connect("**hostknip**", "**userknip**", "**passwordknip**") or die(mysql_error());
mysql_select_db("**dbknip**")or die("Connection Failed"); echo "<br />";
// SQL Query
$query = "SELECT email FROM leden WHERE email = '" . mysql_real_escape_string($_POST['email']) . "'";
$get = mysql_query($query);
$aantal = mysql_num_rows($get);
if($aantal !== 0) die ('Email does already excist <a href="register.php">Back</a>!');
$username=mysql_real_escape_string($_POST['username']);
$pass=mysql_real_escape_string($_POST['password']);
if (isset($_POST['checkbox'])) {
$query = "INSERT INTO leden (`username`, `password`, `email`, `level`) VALUES ('".mysql_real_escape_string($_POST['username'])."',".mysql_real_escape_string(md5($_POST['password']))."', '".mysql_real_escape_string($_POST['email'])."','1')" or die (mysql_error());
if(mysql_query($query));
echo 'Done';
}
else {
echo 'You have to accept the terms of condition.';
}
//Onderkant layout ;)
include 'include/bgdown.php';
?>
of zoals Aar het aangeeft, alleen moet er volgens mij voor de functie een uitroepteken (!) staan, omdat hij de error pas moet weergeven als de if statment false is.
Klopt, ik heb het aangepast. Het glipte er even in het late uurtje er tussen door.
<?php
error_reporting(-1);
//Bovenkant layout ;)
include 'include/bgup.php';
// Maak mysql connectie aan
$link = mysql_connect("**dbhost**", "**dbusername**", "**dbpassword**");
$db = mysql_select_db("**dbname**");
//als het false is fout afhandeling
if(!$link){
echo "kan geen verbinding maken, ERROR: ".mysql_error();
exit;
//als het false is fout afhandeling
}elseif(!$db){
echo "Kan niet bij de database, ERROR: ".mysql_error();
exit;
}else{
function StripDanger($value) {
$magic_quotes_active = get_magic_quotes_gpc();
$new_enough_php = function_exists('mysql_real_escape_string'); // i.e. PHP >= v4.3.0
if ($new_enough_php) { // PHP v4.3.0 or higher
// undo any magic quote effects so mysql_real_escape_string can do the work
if($magic_quotes_active) {
$value = stripslashes($value);
}
$value = mysql_real_escape_string($value);
}
else { // before PHP v4.3.0
// if magic quotes aren't already on then add slashes manually
if(!$magic_quotes_active) {
$value = addslashes($value);
}
// if magic quotes are active, then the slashes already exist
}
return $value;
}
if($_SERVER['REQUEST_METHOD'] == 'POST' && $_POST['verzonden'] == 1 ) {
$username = StripDanger($_POST['username']);
$email = StripDanger($_POST['email']);
$password = StripDanger($_POST['password']);
$password1 = StripDanger($_POST['password1']);
$checkbox = StripDanger($_POST['checkbox']);
//alle fouten in een array zetten
$aFout = array();
if (empty($username)){ //kijken of gebruikersnaam leeg is
$form = true;
$aFout[] = 'U moet een gebruikersnaam opgeven';
}
//kijken of email al bestaat
$resultaat_email = mysql_query("SELECT email FROM leden WHERE email='".$email."'");
if($resultaat_email == false){
echo mysql_error();
}else{
if(mysql_num_rows($resultaat_email)>0){
$form = true;
$aFout[] = 'Email bestaat al';
}elseif(isset($email) && strlen($email)>5) { //controleren of de ingevoerde e-mail adres valide is
// andere variant test 01/03/2010
if(!preg_match('#^[a-z0-9][a-z0-9_.\-]*@([a-z0-9]+\.)*[a-z0-9][a-z0-9\-]+\.([a-z]{2,6})$#i', $email)) {
$form = true;
$aFout[] = 'Dit is geen email adres';
}else{
// alles in orde; geen foutsituatie
}
}
else{
$form = true;
$aFout[] = 'Geen valide email adres';
}
}
//kijken of wachtwoord 1 leeg is
if (empty($password)){
$form = true;
$aFout[] = 'Wachtwoord invoeren';
//kijken of de wachtwoorden gelijk zijn
}elseif($password != $password1){
$form = true;
$aFout[] = 'Wachtwoord zijn niet gelijk';
}else{
//versleutelen
$passworddb = md5($password);
}
//kijken of checkbox leeg is
if (empty($checkbox)){
$form = true;
$aFout[] = 'Je moet akkoord gaan met de algemenevoorwaarde';
}
//als er fouten zijn tijdens het verwerken van het formulier, dan stoppen we alles in een box
if(!empty($aFout))
{
$errors = '
<table><tr><td>
<ul>';
foreach($aFout as $sFout)
{
$errors .= " <li>".$sFout."</li>\n";
}
$errors .= "</ul>
</td></tr></table>";
}else{//hier gaan we de leden toevoegen
$form = false;
//geen fouten alles in de db toevogen
$query = mysql_query("INSERT INTO leden (`username`, `password`, `email`, `level`) VALUES ('$username','$passworddb', '$email', '1')") or die (mysql_error());
if($query){
$form = false;
echo 'Registratie voltooid';
}else{
$form = true;
echo 'Er is iets fout gegaan';
}
}
}
if($form){
if(isset($errors)){ echo $errors; } ?>
<u>Because of building of the site, All the data can be removed</u>
<table>
<form method="post" name="registratie" action="registratie.php" />
<TR><TD>Username:</TD><TD> <input type="text" name="username"></TD></TR>
<tr><td>Password:</TD><TD> <input type="password" name="password"></TD></TR><p>
<tr><td>Password repeat:</TD><TD> <input type="password" name="password1"></TD></TR><p>
<TR><TD>email:</TD><TD> <input type="text" name="email"></TD></TR>
<TR><TD><input type="checkbox" name="checkbox" value="Yes" /> Yes, I agree with the <a href="toc.html">Terms Of Conditions</a></TD</TR>
<input type="hidden" name="verzonden" value="1">
<TR><TD></TD><TD><input type="submit" name="submit" value="verzenden"></TD></TR></TABLE>
</form>
<?php
}
}
//Onderkant layout ;)
include 'include/bgdown.php';
?>
Nu krijg ik alleen de volgende fout:
Notice: Undefined variable: form in /home/a4138720/public_html/register3.php on line 130
De $ bestaat toch?
Ik krijg alleen de CSS te zien, met de foutmelding erin. Krijg geen form te zien.
Als ik even snel naar je code kijk, lijkt het erop dat je scope niet klopt, je hebt alleen binnen if en else statements je $form gedeclareert.
Ik denk dat je probleem is opgelost als je onder:
$checkbox = StripDanger($_POST['checkbox']);
neerzet:
$form = true;
Het kan ook dat er iets anders moet staan dan true, maar ik heb de code niet echt goed bekeken...
waarom zou je nog rekening houden met de vraag of iemand PHP < 4.3 heeft.
Dan heb je het over december 2002: meer dan 11 jaar geleden! http://www.php.net/ChangeLog-4.php#4.3.0
Daarnaast vind het onverstandig om centraal de acties zoals $username = StripDanger($_POST['username']); uit te voeren.
Ja: je hebt ze dan "allemaal" beveiligd.
maar ook: als je er maar 1 vergeet, dan merk je dat nergens meer op.
Daarnaast is het ook verleidelijk om verderop in je script $username te gebruiken. Die bestaat immers.
Maar dan krijg je zo'n leuk effect dat "foto's" ineens op het scherm staat als "foto\'s"
en dan zie je naar verloop van tijd teksen verschijnen met "foto\\\\\\\\\\\\'s" en kun je precies natellen hoevaak de tekst bewerkt is.
Ik ben er voorstander van om alleen op die plekken waar je het nodig hebt te beveiligen.
In dit geval dus elke query, en ook elke variabele. (met mysql_real_escape_string of de mysqli variant daarvan).
En op de plek waar je de username op het scherm wilt hebben gebruik je htmlspecialchars($_POST['username']) of htmlspecialchars($anderevar);
Je ziet dan aan je query direct dat je inderdaad al je variabelen beveiligt en hoeft niet later bij je opdrachtgever te melden dat je in eerste instantie die 3 variabelen prima beveiligde met stripDanger() maar dat je bij het aanpassen helaas vergeten was om die andere 2 daar ook toe te voegen en dat de database nu helaas kapot of gehackt is.
[size=xsmall]Toevoeging op 31/12/2013 12:33:28:[/size]
aanvullend: dus beveiliging toepassen op de manier zoals die daar nodig is: escapen voor je database, "escapen" met htmlspecialchars voor je scherm.
