HTML form vullen in PHP met gelezen MySQL variabele

Door Filip Lambinet op 22-05-2017 13:42

2.967 views

Hallo,

Ik heb een probleempje met het opvullen van een html form binnen php.
Ik lees Mysql variabelen, en probeer ze dan in een form te stoppen
zodanig dat ik ze daarna kan wijzigen.

Echter, de variabele wordt niet correct terug gegeven...

Alvast bedankt voor een oplossing...

Hierbij de code uit mijn php bestand:

<?php

echo "<body style='background-color:#edd9c0; font-size: 16px;'>";
echo ('<font face="verdana" size="2" color="black">');

//------------------------------------------------------------------
$inputvar = $_GET["boxnr"];
$zoeknr = intval($inputvar);

//------------------------------------------------------------------
$servername = "localhost";
$username = "root";
$password = "pass";
$dbname = "boxdb";

//------------- Create connection -------------
$conn = new mysqli($servername, $username, $password, $dbname);

//------------- Check connection --------------
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}

//----------------Select data -----------------
$sql = "SELECT * FROM basis WHERE nr='$zoeknr'";
$result = $conn->query($sql);

if ($result->num_rows > 0)
{
// ---------------------------------
while($row = $result->fetch_assoc())
{
echo "test<br>";
echo ($row["vnaam"]);
$var = $row["vnaam"];
echo ("<br>".$var);
// Het volgende werkt niet:
echo "<form>";
echo '<input name="voornaam" type="text" size="45" id="voornaam" value="$var"';
echo "</form>";
}
}

//------------- Close connection -------------
$conn->close();

?>

Ariën

22-05-2017 13:51

Waarom wil je $row["vnaam"] in $var opslaan?
Wat is je gedachte daarachter?

Als ik een paar goede tip mag geven:
- Je hoeft niet voro elke regel een echo te gebruiken. Een echo werkt ook over meerdere regels, en je kan zelf voor hele lappen HTML zelfs beslissen om je PHP-blok tussentijd te onderbreken met ?> en <?php.

Ook raad ik aan om systematisch altijd $conn->real_escape_string(..) toe te voegen aan alle manipuleerbare variabelen in je query, waaronder $_GET, $_POST, $_COOKIE en $_ENV. Zo voorkom je hacking d.m.v. SQL-injection.

Verder is inline-CSS niet aan te raden, en kan ik een CSS-stylesheet adviseren voor CSS-styling.

Filip Lambinet

22-05-2017 13:57

Het opslaan in $var heb ik gedaan bij testen om te zien of die correct wordt opgevuld.
Meer zit er niet achter.

Het is enkel de volgende (oorspronkelijke) regel die niet werkt:

echo '<input name="voornaam" type="text" size="45" id="voornaam" value="$row["vnaam"]" ';

De output in mijn form field is dan de volgende:

$row[

Dank je, ook voor de extra tips, die ga ik zeker toepassen.

Filip

Ariën

22-05-2017 14:06 gewijzigd op 22-05-2017 14:08


echo '<input name="voornaam" type="text" size="45" id="voornaam" value="'.$row["vnaam"].'">';

Haal je variabelen bij sterke voorkeur altijd buiten je quotes. Je eindig je string met dezelfde quote waarmee je hem begin (single-quote hier in je voorbeeld), en met de punt koppel je er een variabele aan vast. Daarna eindig je het laatste stukje nog met een stujke gekoppelde string.

Thomas van den Heuvel

22-05-2017 14:12 gewijzigd op 22-05-2017 14:19

Indien je het volgende doet:

<?php
$test = 'hoi';
echo 'Dit is een test: $test';
?>

Wordt het volgende weergegeven:

Dit is een test: $test

Dit komt omdat binnen een string met enkele quotes variabelen niet vervangen worden door hun corresponderende waarden.

Daarnaast is het ook niet nodig om lappen (statische) HTML te echo'en. Je kunt on-the-fly PHP-blokken starten en eindigen. Het volgende werkt prima:

<input name="voornaam" type="text" size="45" id="voornaam" value="<?php echo $row['vnaam'] ?>">

ECHTER, DIT IS NIET VEILIG / WATERDICHT
Je bent bezig met data weergeven in een HTML-context. Dit betekent dat bepaalde karakters in deze context (denk aan een dubbele quote ("), een openingshaak (<), een sluitingshaak (>), een ampersand (&) et cetera) een speciale betekenis hebben. Vooral als gebruikers invoer verzorgen (user input) is het belangrijk om de deze invoer van (mogelijk) speciale betekenis te ontdoen. Dit doe je met escaping-functies.

Net zoals je in de SQL-context DATA ontdoet van enige speciale betekenis met behulp van escaping-functies zodat deze niet als SQL geïnterpreteerd kan worden (met behulp van de real_escape_string() functie, die overigens NIET veilig is ZONDER het gebruik van quotes) gebruik je in de HTML-context de escaping-functie htmlspecialchars() zodat DATA niet als HTML geïnterpreteerd kan worden.

Een veiliger alternatief zou dus het volgende zijn:

<input name="voornaam" type="text" size="45" id="voornaam" value="<?php echo htmlspecialchars($row["vnaam"], ENT_QUOTES) ?>">

En dan hebben we het nog niet eens over character encoderingen gehad :p. Escaping-functionaliteit werkt namelijk alleen goed als dit wordt gedaan in de gehanteerde character encoding. Als je werkt met encoding A en escapet volgens encoding B dan wordt mogelijk niet alles wat gevaarlijk is geneutraliseerd.

Alles begint eigenlijk bij de bewustwording dat alles een character encodering heeft.

Filip Lambinet

22-05-2017 14:18 gewijzigd op 22-05-2017 14:25

Gewijzigd...
En, inhoud kwijt... verdorie :-(

Ariën

22-05-2017 14:20 gewijzigd op 22-05-2017 14:21

Je hoeft niet het voorgaande bericht volledig te quoten, Filip. Kan je je bericht even aanpassen door daar op

te drukken?

Filip Lambinet

22-05-2017 14:20

:-)
Ik ben ook slechts enkele weken in deze talen aan het programmeren.
Van opleiding en job ervaring ben ik mainframe programmeur (IBM, DB2, COBOL, PL1, SQL, ...)

Dank je Thomas, ik ga het meteen allemaal uitproberen en hou je op de hoogte.

Filip

[size=xsmall]Toevoeging op 22/05/2017 14:22:29:[/size]

Sorry, heb te snel op button geklikt.
Ben ook nieuw op dit forum, alsook het werken met forums (respons, reacte, ...).
Thanks :-)

Filip Lambinet

23-05-2017 16:34

Thomas,
Bovenstaand probleempje is opgelost.
Dankje voor je hulp.

Reageren

Inloggen om te reageren