PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
N

Beveiliging/foutafhandeling

Door Niels Rietveld op 24-02-2015 19:03
3.244 views
Ik heb mijn eerste PHP insert scriptje gemaakt, alleen hoe kan ik de foutafhandeling goed maken.
Zoals dat als nu maximaal aantal tekens gebruik is krijg ik warning enz.

<?php
include("config.php");

$name = 'Niels' ;

if(isset($_POST['submit'])) {
  $title = trim($_POST['title']);
  $content = trim($_POST['text']);

mysql_query("INSERT INTO pages (pagina, inhoud, auteur, editdate, created)
VALUES ('".$title."', '".$content."', '".$name."', NOW(),'NOW());"); 

  }

{;?>
Created
<?;}
?>
N Niels Rietveld
24-02-2015 23:07
Ik krijg allemaal errors dat de syntax verkeerd is...


[size=xsmall]Toevoeging op 24/02/2015 23:16:39:[/size]

Ik hou het wel bij mysql_query, mysqli_query is vaag..
Thomas van den Heuvel
24-02-2015 23:37
De mysql-extensie gaat verdwijnen, het lijkt mij toch verstandig je vertrouwd te maken met mysqli of PDO. Tis gewoon een kwestie van wennen. En als je het vaag of onhandig vindt werken, zoek een (of maak je eigen) wrapper-class zodat je hetzelfde kunt doen met minder code.
N Niels Rietveld
25-02-2015 12:55
Oké, ik heb nu dit ervan gemaakt:

create.php
<?php
include("config.php");

$name = 'Niels' ;



mysqli_query($db, "INSERT INTO pages (pagina, inhoud, auteur, editdate, created)
VALUES ('".mysqli_real_escape_string($_POST['title'])."', '".mysqli_real_escape_string($_POST['text'])."', '".$name."', NOW(),'NOW());"); 

  }

{;?>
Created
<?;}
?>


config.php

<?php

if(strtolower(basename($_SERVER['PHP_SELF'])) == strtolower(basename(__FILE__))) {
	die('<font face="arial"><u>Geen toegang.</u></font>');
}


$db = mysqli_connect('localhost', 'xxxxx', 'xxxxx', 'xxxxx');


if (mysqli_connect_errno()) {
    echo 'Connectie mislukt: ' . mysqli_connect_error();
    exit();
}
?>


Ik krijg deze errors:

Warning: mysqli_real_escape_string() expects exactly 2 parameters, 1 given in create.php on line 12

Warning: mysqli_real_escape_string() expects exactly 2 parameters, 1 given in create.php on line 12
- Ariën -
25-02-2015 13:13 gewijzigd op 25-02-2015 13:15
Vertalen is niet zo heel lastig.


mysqli_real_escape_string() verwacht precies 2 parameters, er is er maar 1 gegeven.

Dus dan wordt duidelijk dat we een parameter missen, en dus gaan we eens kijken op php.net.

We zien daar dat we de mysqli_real_escape_string-functie gebruiken, dus de procedurele manier, en dan zien we dus dat de opbouw (geen PHP-code) als volgt is:

string mysqli_real_escape_string ( mysqli $link , string $escapestr )

Dan komt het erop neer dat je de link-identifier van je gebruikte mysqli_connect() mee moet geven aan de functie.

Nu mag jij raden hoe het wel hoort. ;-)
Niet vaags aan, zoals je eerder aangaf. Gewoon een kwestie van logisch kijken en manuals lezen.
N Niels Rietveld
25-02-2015 13:18 
mysqli_real_escape_string($db, $_POST['title'])


Thanks het werkt!
Thomas van den Heuvel
25-02-2015 13:19 gewijzigd op 25-02-2015 13:23
Tijd om de handleiding er op na te slaan.

In principe hanteert mysqli twee schrijfwijzen:
- een procedurele variant
- een object georienteerde variant

Om verschillende redenen is het verstandiger om de object georienteerde variant te gebruiken, al was het maar om de kortere code die dit oplevert.

Als je toch de procedurele variant wilt gebruiken zul je twee argumenten moeten opgeven.
De eerste parameter (het eerste argument) bevat je connectie-object, in jouw geval is dit $db.
De tweede parameter bevat de te escapen invoer.

Hierbij (bij het escapen van DATA) is het EXTREEM BELANGRIJK dat je de juiste character encoding selecteert bij het maken van een verbinding van je database.

Om het voordeel van een wrapper te illusteren: je zou voor het escapen van je data een methode kunnen maken:
<?php
class Database_MySQLi
{
    // ...
    protected $conn; // mysqli object
    // ...

    function escape($input) {
        return $this->conn->real_escape_string($input)
    }

    // ...
}
?>


Je procedurele code ziet er zo uit:
<?php
mysql_real_escape_string($db, $input);
?>


De object georienteerde variant zou er zo uitzien:
<?php
$db->real_escape_string($input);
?>


En als je van een wrapper class gebruik zou maken blijft hier dit van over:
<?php
$db->escape($input);
?>


Een ander voordeel is dat je, in tegenstelling tot de eerste twee varianten, geen specifieke database(-extensie) functies gebruikt en daarmee het "hardcoden" hiervan verplaatst naar je wrapper class. Als je op een gegeven moment schakelt van de manier waarom je communiceert met je MySQL-database, dan hoef je dit soort functies niet te zoeken/vervangen in je code, maar in het meest gunstige geval hoef je alleen de implementatie van je wrapper class (op een plaats, in plaats van door heel je code) aan te passen.
- Ariën -
25-02-2015 13:26
Thomas, echt erg leuk dat je advies wilt geven, en ik waardeer het uiteraard, maar houd rekening ermee dat Niels beginner is. Methodes en (wrappper)-classes zijn in mijn ogen nog niet de dingen waar hij naar moet kijken.

Om op je wrapper-class terug te komen, je kan de MySQLi-class ook extenden om eigen functies te maken.

Reageren

Inloggen om te reageren