Tja Ivo, op die manier kun je beredeneren dat luchtbanden niet geschikt zijn voor een fiets omdat ze lek kunnen en als je te zwaar bent kom je niet vooruit.
Ja Bart, mijn aanpak werkt. Dus mijn luchtband is geschikt voor het vervoermiddel waar hij is toegepast, de fiets.
En ja, als je een auto van banden wil voorzien, moet je een ander modelletje band toepassen. Dat is het tweede voorbeeld.
Elk voordeel heb ze nadeel. Maar niet elk nadeel is altijd en eeuwig van belang. Flexibiliteit, dat is het sleutelwoord. :-)
Nee, je bent nog niet tegen de problemen aangelopen die het plaatsen van variabelen tussen "" met zich mee brengt.
Dat is net wat anders.
Zo ongeveer het verschil tussen "banden moeten profiel hebben" en "met mijn gladde banden heb ik nooit problemen". (omdat je nooit met regen last had van een vrachtwagen die je niet aanzag komen van rechts.)
Goed. je strings niet escapen is minder dodelijk (tenzij er een goede xss aanval uit voortkomt en ze alsnog je site/server weten te killen).
maar waarom dan iemand aan raden om geen regenbanden toe te passen, als je niet weet waar TS het gaat toepassen.
Uiteindelijk kom je niet weg met "sorry dat uw site plat ligt, de klantgegevens op straat liggen en uw voorraad voor 10 % van de prijs is verkocht. Ik wist helaas niet dat er regen verwacht werd."
Altijd htmlspecialhars. Ook al denk je dat er altijd een cijfer komt te staan. Ooit kan iemand ergens misschien toch een string door laten komen. En degene die dat aanpast, gaat dan niet alle scripts nalopen, of de programmeur niet 10 toetsaanslagen wilde besparen.
Niemand die aanraadt geen regenbanden toe te passen. Ik niet althans, lees maar terug. Ik vertel de vraagsteller hoe IK het zou doen, meer niet. En ik doe het overzichtelijk en eenvoudig. Dat voorkomt eindeloos gezoek naar onbegrijpelijke tik- en syntaxfouten en desfunctioneren. Moet het moeilijk, dan komt dat later wel. Stapsgewijze verfijning. Ofwel, eerst de hoofdzaken dan de details. De aanpak die vroeguh heel normaal was.
En dan nog wat, Ivo, het gaat om een selectielijst. Uit bekende gegevens, uiteraard. Maak jij programma's waarbij je de invoer zo slecht controleert dat je dataverzameling corrupt kan zijn? Nee toch zeker!
de data hoeft niet corrupt te zijn om problemen te veroorzaken hoor.
Een lijst met winkels zou zo maar een & kunnen bevatten (C&A, V&D) die & moet dan dus & worden. Zonder dat gaat het mogelijk ook nog wel goed. Maar er zijn ook wel legitieme strings te bedenken waarin een < voor kan komen.
Dat geldt voor strings naar het scherm. Dat geldt voor strings naar een database.
In de database zat nette data hoor.
Alleen om een vage reden kon een zekere Ali nooit zijn orders opslaan.
Wat bleek: iemand had de redenatie "data is toch schoon" gehanteerd, en bij het opslaan van de naam van de gebruiker (waarom niet zijn id is een ander verhaal) werd het escapen niet gedaan en dus had dhr dal'habbi en probleem.
Naar de letter heb jij inderdaad niets geadviseert, maar als je het in een topic plaatst, leest dat wel als "he topic starter doe het maar zo, dat is goed, want dat doe ik ook".
Ik vermoed trouwens vanwege je opmerking over eindeloos zoeken naar syntaxfouten, dan je eens moet kijken of er geen betere editors zijn.
Bijvoorbeeld Netbeans zal middels rode strepen naast je script en waarschuwingsborden op de regelnummers en andere kriebels rond de code vrij duidelijk maken dat er iets mis is.
En variabelen hebben een andere kleur dan plaintext, dus ook die springen er goed uit.
Prima als je dat allemaal maar overbodig gedoe vindt voor het geval het ooit nodig is, maar raad dat dan niet anderen aan om te volgen.
