PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
S

Adres Boek

Door Sander Bakker op 14-03-2016 21:43
4.181 views
Hallo allemaal, ik probeer een adres boek te maken met PHP. Waarin elke gebruiker van de website zijn eigen contacten kan opslaan. Het probleem is alleen dat ik geen idee heb hoe ik dit moet doen. Ik heb een aantal tutorials op youtube geprobeerd na te maken maar zonder succes (video's zijn van 6 jaar terug & gebruiken dus geen mysqli) Kan iemand me hierbij helpen of in de goede richting wijzen
- Ariën -
15-03-2016 12:08
Beveiliging tegen wat? Want in je query maak je het weer ongedaan.

Sql injection? -> mysqli_real_escape_string()
- SanThe -
15-03-2016 12:09
Jouw beveiliging is geen beveiliging.
Gebruik de mysqli functions die daarvoor zijn.
S
Sander Bakker
15-03-2016 12:17
Ik ben bezig aan een opdracht voor school, dit is om te laten zien dat wij ook gebruik kunnen maken van bin2hex. Staat er in een comment ook bij (niet in de code hier boven maar wel in een andere code).
- SanThe -
15-03-2016 12:23
Het gebruik van bin2hex() is hier zinloos.
Thomas van den Heuvel
15-03-2016 14:57 gewijzigd op 15-03-2016 15:02
- SanThe - op 15/03/2016 12:23:39
Het gebruik van bin2hex() is hier zinloos.

Dit is niet helemaal waar. Dit garandeert min of meer dat wat de database ingaat "veilig" is (enkel bestaat uit hexadecimale waarden (in stringvorm)).

Dit is echter de verkeerde manier, want dit is "escape on input". Wanneer je de gegevens weer ophaalt (of wijzigt) zul je deze weer uit moeten pakken (dit gebeurt ook, met UNHEX).

Indien dit de methode is die je op school wordt aangeleerd om veilig om te gaan met user data dan zou ik hier vraagtekens bij plaatsen.

Het devies is wat mij betreft: filter input, escape output.

Dit houdt het volgende in:
- voordat je data opslaat in je database, controleer je of de invoer voldoet aan een specifieke vorm, mits relevant (input filtering)

- wanneer je data opslaat in je database, neem je deze data op in je SQL statement omringd door enkele quotes; de data zelf haal je door een real_escape_string() functie; het een zonder het ander is NIET veilig (output escaping, in dit geval in de SQL context)

- wanneer je data ophaalt en wilt weergeven voorzie je deze data van htmlspecialchars() (zoals je nu ook al doet, alleen op de verkeerder plaats, en zonder twee belangrijke parameters: flags (2e) en encoding (3e)) (output escaping, in dit geval in de HTML context)

Indien je wordt verteld om bin2hex() te gebruiken dan moet je dit wel doen wanneer dit hout snijdt. Dit snijdt geen hout bij het opslaan van data tenzij je dingen wilt uitzoeken ten aanzien van je character encoderingen, maar daarvoor zou je je connect.php moeten laten zien en ons meer vertellen over hoe je databasetabellen zijn gedefinieerd...
- SanThe -
15-03-2016 15:02
Thomas van den Heuvel op 15/03/2016 14:57:48

[quote="- SanThe - op 15/03/2016 12:23:39"]Het gebruik van bin2hex() is hier zinloos.

Dit is niet helemaal waar. Dit garandeert min of meer dat wat de database ingaat "veilig" is (enkel bestaat uit hexadecimale waarden (in stringvorm)).
[/quote]

Maar het gaat de database niet in want het wordt in de query weer ongedaan gemaakt.
Het is als een brandweerman die zijn veilige kleding aantrekt en voordat ie het brandende pand in gaat, het weer uittrekt.
S
Sander Bakker
15-03-2016 15:11
Okee ik snap het. Ik heb nu nog een vraagje over me adressboek. Ik heb een PHP code gemaakt in het bestand add_contact.php. Hiervan is de code als volgt:


<?php
if (!isset($_SESSION)) { session_start(); }




include "connect.php";

$error = "";

$userQuery = mysqli_query($conn, "SELECT username FROM users");

$user = mysqli_fetch_assoc($userQuery);

if (isset($_POST['add_contact'])) {
    $roepnaam = $_POST['roepnaam'];
    $naam = $_POST['naam'];
    $bedrijf = $POST['bedrijf'];
    $telefoon = $_POST['telefoon'];
    $email = $_POST['email'];
    $straat1 = $_POST['straat1'];
    $straat2 = $_POST['straat2'];
    $stad = $_POST['stad'];
    $postcode = $_POST['postcode'];
    $provincie = $_POST['provincie'];
    $land = $_POST['land'];
    $captcha=	$_POST['g-recaptcha-response'];

    if(!$captcha){
            $error = "Er is een fout opgetreden";

          }
          $secure_roepnaam = bin2hex(htmlspecialchars($roepnaam));
          $secure_naam = bin2hex(htmlspecialchars($naam));
          $secure_bedrijf = bin2hex(htmlspecialchars($bedrijf));
          $secure_telefoon = bin2hex(htmlspecialchars($telefoon));
          $secure_email = bin2hex(htmlspecialchars($email));
          $secure_straat1 = bin2hex(htmlspecialchars($straat1));
          $secure_straat2 = bin2hex(htmlspecialchars($straat2));
          $secure_stad = bin2hex(htmlspecialchars($stad));
          $secure_postcode = bin2hex(htmlspecialchars($postcode));
          $secure_provincie = bin2hex(htmlspecialchars($provincie));
          $secure_land = bin2hex(htmlspecialchars($land));
//*Dit is om de data in de database te beveiligen, aangezien we ze in de query weer ongedaan maken is het nu nutteloos maar het is om te laten zien dat we dit ook kunnen//
          if ($error == "") {
        		$insertUser = "INSERT INTO address
        		(roepnaam, naam, bedrijf, telefoon, email,  straat1, straat2, stad, postcode, provincie, land)
        		VALUES
        		(UNHEX('$secure_roepnaam'), UNHEX('$secure_naam'), UNHEX('$secure_bedrijf'), UNHEX('$secure_telefoon'), UNHEX('$secure_email'), UNHEX('$secure_straat1'), UNHEX('$secure_straat2'), UNHEX('$secure_stad'), UNHEX('$secure_postcode'), UNHEX('$secure_provincie'), UNHEX('$secure_land'))";

        		if (mysqli_query($conn, $insertUser)) {
        			$_SESSION['add_contact'] = true;
        			header('location: address_book.php');
        		} else {
        			$error = "Er is een fout opgetreden";
        		}
        	}
          }

 ?>




 <!DOCTYPE html>
 <html lang="en">
   <head>
   <link rel="stylesheet" href="bootstrap/css/bootstrap.min.css" type="text/css">
   <link rel="stylesheet" href="css/stylesheet.css" type="text/css">
   <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.12.0/jquery.min.js"></script>
   <script src="http://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/js/bootstrap.min.js"></script>
 	<script src='https://www.google.com/recaptcha/api.js'></script>
   <script src="js/java.js"></script>
     <meta charset="utf-8">
     <meta name="viewport" content="width=device-width, initial-scale=1">
     <title>Contact toevoegen</title>
   <style>
   .error {
 	color: darkred;
 	font-weight: bold;
   }
   </style>
   </head>
   <body>
     <nav class="navbar navbar-default">
     <div class="container-fluid">
       <div class="navbar-header">
         <button type="button" class="navbar-toggle" data-toggle="collapse" data-target="#myNavbar">
           <span class="icon-bar"></span>
           <span class="icon-bar"></span>
           <span class="icon-bar"></span>
         </button>
         <a class="navbar-brand" href="index.php">SBRM National Bank</a>
       </div>
       <div class="collapse navbar-collapse" id="myNavbar">
         <ul class="nav navbar-nav">
           <li><a href="index.php">Home</a></li>
           <li><a href="details.php">Gegevens</a><li>
           <li><a href="bankaccounts.php">Rekeningoverzicht</a><li>
           <li class="active"><a href="address_book.php">Contacten</a><li>

         </ul>
         <ul class="nav navbar-nav navbar-right">
           <li class-"active"><a href="details.php"><span class="glyphicon glyphicon-user"></span>  U bent ingelogd als <?php echo $user['username']; ?></a></li>
           <li><a href="logout.php"><span class="glyphicon glyphicon-log-out"></span> Uitloggen</a></li>
         </ul>
       </div>
     </div>
     </nav>
     <div class="container-fluid hero-slide">
       <div class="row">
     <div id="myCarousel" class="carousel slide " data-ride="carousel">



       <div class="carousel-inner" role="listbox">
         <div class="item active">
           <img src="images/add_contact.jpg" alt="Ad">
     <div class="carousel-caption">
           <h3 class="caption">Contact toevoegen</h3>

         </div>
       </div>
       </div>
     </div>
     </div>
   </div>

 <div class="container padding-top-10">
   <div class="panel col-md-6">
     <div class="panel-heading "><h5>Contact gegevens:</h5></div>
     <div class="panel-body">
       <form action="" method="post">
 	    <?php if ($error !== "") { ?>
 		<div class="row">
           <div class="col-md-12 error">
             <?php echo $error; ?>
           </div>
         </div>
 		<?php } ?>
         <label for="firstName" class="control-label">Naam:</label>
         <div class="row ">
           <div class="col-md-6">
           <input type="text" class="form-control" id="firstName" placeholder="Roepnaam" name="roepnaam" value="<?php if (isset($_POST['roepnaam'])) { echo $_POST['roepnaam']; } ?>" required/>
         </div>
         <div class="col-md-6">
         <input type="text" class="form-control" id="lastName" placeholder="Naam" name="naam" value="<?php if (isset($_POST['naam'])) { echo $_POST['naam']; } ?>" required/>
       </div>
         </div>
 <label for="bedrijf" class="control-label">Bedrijf:</label>
         <div class="row ">
           <div class="col-md-12">
             <input type="text" class="form-control" id="bedrijf" placeholder="Bedrijf" name="bedrijf" value="<?php if (isset($_POST['bedrijf'])) { echo $_POST['bedrijf']; } ?>" required/>
           </div>
         </div>
         <label for="password" class="control-label">Telefoonnummer:</label>
                 <div class="row ">
                   <div class="col-md-12">
                     <input type="text" class="form-control" id="password" placeholder="Telefoonnummer" name="telefoon" value="<?php if (isset($_POST['telefoon'])) { echo $_POST['telefoon']; } ?>" required/>
                   </div>

                 </div>
                 <label for="email" class="control-label">Email:</label>
                         <div class="row ">
                           <div class="col-md-12">
                             <input type="text" class="form-control" id="email" placeholder="E-mailadres" name="email" value="<?php if (isset($_POST['email'])) { echo $_POST['email']; } ?>" required/>
                           </div>

                         </div>
 <label for="adress1" class="control-label">Adres:</label>
         <div class="row">
           <div class="col-md-12">
           <input type="text" class="form-control" id="adress1" placeholder="Adres 1" name="adres1" value="<?php if (isset($_POST['straat1'])) { echo $_POST['straat1']; } ?>" required/>
         </div>
         </div>
         <div class="row padding-top-10">
           <div class="col-md-12">
           <input type="text" class="form-control" id="adress2" placeholder="Adres 2" name="adres2" value="<?php if (isset($_POST['straat2'])) { echo $_POST['straat2']; } ?>"/>
         </div>
         </div>
         <div class="row">
           <div class="col-md-3">
             <label for="postcode" class="control-label">Postcode:</label>
           </div>
           <div class="col-md-5">
             <label for="city" class="control-label">Stad:</label>
           </div>
           <div class="col-md-4">
             <label for="regio" class="control-label">Regio:</label>
           </div>
         </div>
         <div class="row ">
           <div class="col-md-3">
             <input type="text" class="form-control" id="postcode" placeholder="Postcode" name="postcode" value="<?php if (isset($_POST['postcode'])) { echo $_POST['postcode']; } ?>" required/>
           </div>
           <div class="col-md-5">
             <input type="text" class="form-control" id="city" placeholder="Stad" name="stad" value="<?php if (isset($_POST['stad'])) { echo $_POST['stad']; } ?>" required/>
           </div>
           <div class="col-md-4">
             <input type="text" class="form-control" id="regio" placeholder="Provincie" name="provincie" value="<?php if (isset($_POST['provincie'])) { echo $_POST['provincie']; } ?>" required/>
           </div>
         </div>
         <label for="land" class="control-label">Land:</label>
                 <div class="row ">
                   <div class="col-md-12">
                     <input type="text" class="form-control" id="password" placeholder="Land" name="land" value="<?php if (isset($_POST['land'])) { echo $_POST['land']; } ?>" required/>
                   </div>

                 </div>

 								<div class="row">
 									<div class="col-md-8 padding-top-10 ">
 										<div class="g-recaptcha " data-sitekey="6LcCsBoTAAAAAK72uzyJSrgWwD8xuF6jFIfgFaHX"></div>
 									</div>
 								</div>
         <div class="row">
           <div class="col-md-2 padding-top-10">
             <input type="submit" name="add_contact" class="btn btn-succes" value="Contact toevoegen">
           </div>
         </div>


       </form>
     </div>
 </div>
 </div>
 <footer>
   <div class="container">
     <div class="row">
       <div class="col-sm-3">
         <h6>Copyright &copy; 2016</h6>
         <ul class="list-unstyled">
           <li class="boss">Sander Bakker</li>
           <li class="unstyled">Bob Lansbergen</li>
           <li class="unstyled">Ronald van den Heuvel</li>
           <li class="unstyled">Max Donck</li>
         </ul>
       </div>
       <div class="col-sm-3">
         <h6>Over Ons</h6>
         <p id="pfont">Dit is een website ontworpen om een banksysteem te simuleren met PHP en mySQL</p>
       </div>

       <div class="col-sm-2">
         <h6>Navigatie</h6>
         <ul class="list-unstyled">
           <li class="unstyled"><a href="#">Home</a></li>
           <li class="unstyled"><a href="#">Particulier</a></li>
           <li class="unstyled"><a href="#">Persoonlijk</a></li>
           <li class="unstyled"><a href="#">Privé</a></li>
           <li class="unstyled"><a href="#">Zakelijk</a></li>
         </uL>
       </div>
       <div class="col-sm-2">
         <h6>Contact</h6>
         <ul class="list-unstyled">
           <li class="unstyled"><a href="#">Google +</a></li>
           <li class="unstyled"><a href="#">Facebook</a></li>
           <li class="unstyled"><a href="#">Twitter</a></li>
           <li class="unstyled"><a href="#">YouTube</a></li>
         </uL>
       </div>
     </div>
   </div>
 </footer>
   </body>
   </head>
   </html>


Maar iedere keer als ik een gebruiker probeer toe te voegen dan voegt het alle gegevens toe behalve het bedrijf en adres 1. Heel appart, iemand die toevallig weet waarom dit gebeurd?

[size=xsmall]Toevoeging op 15/03/2016 15:18:23:[/size]

Krijg deze 3 error's


Notice: Undefined variable: POST in E:\USBweb\root\po\add_contact.php on line 18

Notice: Undefined index: straat1 in E:\USBweb\root\po\add_contact.php on line 21

Notice: Undefined index: straat2 in E:\USBweb\root\po\add_contact.php on line 22

[size=xsmall]Toevoeging op 15/03/2016 15:27:51:[/size]

De error op lijn 18 heb ik inmiddels opgelost alleen die andere 2 nog niet
Thomas van den Heuvel
15-03-2016 15:28
$_POST <--> $POST
adres1 <--> straat1
adres2 <--> straat2

Er wordt precies aangegeven wat er volgens PHP mis is, en waar.

Wat wil je nog meer?
- SanThe -
15-03-2016 15:31 gewijzigd op 15-03-2016 15:32
Beetje laat.
S
Sander Bakker
15-03-2016 16:01
Ik heb het geprobeerd. Nu krijg ik niet meer die 2 error's boven aan de pagina maar wel "Er is een fout opgetreden".

Reageren

Inloggen om te reageren