Beveiliging/foutafhandeling

Door Niels Rietveld op 24-02-2015 19:03

3.245 views

Ik heb mijn eerste PHP insert scriptje gemaakt, alleen hoe kan ik de foutafhandeling goed maken.
Zoals dat als nu maximaal aantal tekens gebruik is krijg ik warning enz.


<?php
include("config.php");

$name = 'Niels' ;

if(isset($_POST['submit'])) {
  $title = trim($_POST['title']);
  $content = trim($_POST['text']);

mysql_query("INSERT INTO pages (pagina, inhoud, auteur, editdate, created)
VALUES ('".$title."', '".$content."', '".$name."', NOW(),'NOW());"); 

  }

{;?>
Created
<?;}
?>

- SanThe -

24-02-2015 19:07

Je andere topics lezen.

- Ariën -

24-02-2015 19:09 gewijzigd op 24-02-2015 19:09

<?php
$string = "Dit is een lange string!";
if(strlen($string)>10) {
echo "De string is langer dan 10 tekens!";
}
?>

Verder is je MySQL-code lek, omdat mysql_real_escape_string() ontbreekt. Je bent nu vastbaar voor hacks.

Eeyk Vd noot

24-02-2015 19:09

Gebruik geen Mysql_query(""); deze verouderd probeer Mysqli te gebruiken.
En NOOIT een input direct in een database zetten! dit script is niet veilig. gebruik mysql_real_escape_string(); en als je mysqli gebruikt, gebruik dan mysqli_real_escape_string();

<?php
mysql_query("INSERT INTO pages (pagina, inhoud, auteur, editdate, created)
VALUES ('".$title."', '".$content."', '".$name."', NOW(),NOW())");
?>

gebruik ) or die(mysql_error()); om een fout te krijgen.

- Ariën -

24-02-2015 19:12

Yegh... 'or die(mysql_error())....
Waarom moet het script dood als er wat fout gaat?

Zorg liever dat het script netjes de juiste afslag kiest om vervolgens weer zijn weg te vervolgen.
http://www.phphulp.nl/php/tutorial/data-verwerking/foutafhandeling-query-sql/735/algemene-structuur/1930/

Eeyk Vd noot

24-02-2015 19:14

Je kan ook trigger_error gebruiken is ook stuk beter.
maar ik maakte het gewoon simpel ;p

Niels Rietveld

24-02-2015 19:18

Misschien een gekke vraag, maar wat is nou eigenlijk precies het verschil tussen MySQL en MySQLi?

- SanThe -

24-02-2015 20:04

Zie php.net.
mysql_ gaat verdwijnen.

Thomas van den Heuvel

24-02-2015 20:09

Hangt een beetje van de context af waarin je het gebruikt. MySQL kan zowel betekenen:
- het database-type / de database-variant "MySQL"
- de PHP-extensie die je in staat stelt te communiceren met een MySQL-database (hier vallen functies die starten met "mysql_" onder)

MySQLi (MySQL improved) is een nieuwe(re) PHP-extensie voor communicatie met je MySQL-database. De oorspronkelijke extensie (mysql) is eigenlijk al ~10 jaar verouderd en wordt op korte termijn uitgefaseerd.

Als je nieuwe code schrijft zou je geen gebruik meer moeten maken van de mysql-extensie (functies die starten met "mysql_").

Naast MySQLi kun je ook PDO gebruiken om met een MySQL-database te communiceren - PDO (die niet voor een specifiek database-type geschreven is) heeft tevens een MySQL-driver (PDO_MYSQL).

Wat SanThe dus zegt, eigenlijk :).

Niels Rietveld

24-02-2015 20:30

Wordt het dan dit?

<?php
mysqli_query("INSERT INTO pages (pagina, inhoud, auteur, editdate, created)
VALUES ('".$title."', '".$content."', '".$name."', NOW(),NOW())");
?>

- Ariën -

24-02-2015 21:25

Nee, maar je zit wel op de goede weg.
Je moet je databaseconnectie meegeven, en mysqli_real_escape_string() mist nog.

Reageren

Inloggen om te reageren