PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
p

php profile token script

Door pascal klienstra op 29-09-2019 00:52
6.695 views
Hallo,
ik ben bezig met een systeem

--  
 -- Table structure for table `account`  
 --  
 CREATE TABLE IF NOT EXISTS `account` (  
  `u_id` int(11) NOT NULL AUTO_INCREMENT,  
  `u_naam` varchar(250) NOT NULL,  
  `avatar` varchar(250) NOT NULL,
  PRIMARY KEY (`u_id`)  
 ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;  

 --  
 -- Table structure for table `tickets`  
 --  
 CREATE TABLE IF NOT EXISTS `tickets` (  
  `token` CHAR(40) NOT NULL,
  `ticket_naam` varchar(250) NOT NULL, 
  `ticket_datum` date NOT NULL, 
  `plaats` varchar(250) NOT NULL, 
  `prijs` int(2) NOT NULL, 
  `betaallink` varchar(250) NOT NULL,   
  `u_id` int(11) NOT NULL,  
  PRIMARY KEY (`token`)  
 ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=11 ;  
 


?php
// retrieve token
if (isset($_GET["listing"]) && preg_match('/^[0-9A-F]{40}$/i', $_GET["listing"])) {
    $token = $_GET["listing"];
}
else {
    throw new Exception("niks gevonden");
}

// verify token
$query = $db->prepare("SELECT u_id, ticket_naam FROM tickets INNER JOIN account ON tickets.ticket_id = account.u_id WHERE token = ?"); 
$query->execute(array($token));
$row = $query->fetch(PDO::FETCH_ASSOC);
$query->closeCursor();

if ($row) {
    extract($row);
}
else {
    throw new Exception("niks gevonden");
}
$row["u_naam"]; 
$row["ticket_naam"];
?>


wat nou het idee moet wezen zodra ik 1 aanmaak wil ik dat die een aparte token code krijgt met link zodat je van de table users informatie leest en de tickets van die user die code kunnen mensen dan sturen zodat ze de pagina kunnen zien iemand tips/ of beetje op weg kan helpen
- Ariën -
29-09-2019 16:12
En nu met interpuncties?
p
pascal klienstra
29-09-2019 16:25 gewijzigd op 29-09-2019 16:30
Ik heb een html formulier die ik kan invullen.
Wat ik nou precies wil is het volgende

<h1>Gebruikers info</h1><br>
  Naam:<br>
  <input type="text" name="naam" value="">
  <br>
  avatar img:<br>
  <input type="text" name="avatar" value="">
  <br>


die data moet opgeslagen worden in de table account.
De data ticket info

<h1>Ticket info</h1><br>
   Ticket naam:<br>
  <input type="text" name="ticket_naam" value="">
  <br>
   Ticket header image:<br>
  <input type="text" name="ticket_naam" value="">
  <br>
   ticket_datum:<br>
  <input type="text" name="ticket_datum" value="">
  <br>
  plaats:<br>
  <input type="text" name="plaats" value="">
  <br>
  prijs:<br>
  <input type="text" name="avatar" value="">
  <br>
   Betaalmethode:<br>
  <input type="text" name="betaallink" value="">
  <br>
  <br>
  <input type="submit" value="Submit">
</form>
</body>
</html>

moet in de table tickets staan
bij de table tickets moet de token code in de table staan.

       $token = rand();
        $result = hash("sha256", $token);

zodat ik straks elk pagina een token code heeft, bijvoorbeeld ?listing=SHGDHAGDADHGAHG
die lees dan de data af van de token, en vanuit de tabellen
de gegevens van account afleest en van tickets.
Maar dat is dan een select query

dus wat ik aan jullie vraag
hoe moet ik de sql query doen
insert into en select
- Ariën -
29-09-2019 16:28 gewijzigd op 29-09-2019 16:39
Als je een INSERT in twee tabellen uitvoert, zijn dit twee INSERT queries.

Zo bouw je een INSERT op:

INSERT INTO TABLE_NAME (ID, dit, dat)
VALUES ('', 'zus', 'zo');

In dit geval is ID als value leeg, omdat het al automatisch ingevuld wordt door MySQL, als het auto_increment is.
p
pascal klienstra
29-09-2019 16:40
dus dan moet het zo

<?php
 include 'config.php';
         if(isset($_POST["submit"])){
		$token = rand(); 
		$result = hash("sha256", $token);  

            } 
			 $sql="INSERT INTO `account` (u_naam, avatar)
           VALUES ('{$_POST['naam']}','{$_POST['avatar']}')";
		    $sql="INSERT INTO `tickets` (ticket_naam, token)
           VALUES ('{$_POST['ticket_naam']}','{$_result}')";
            if (mysqli_query($conn, $sql)) {
               echo "Gelukt";
            } else {
               echo "Error: " . $sql . "" . mysqli_error($conn);
            }
            $conn->close();
         }
      ?>
- Ariën -
29-09-2019 16:42 gewijzigd op 29-09-2019 16:46
Niet helemaal, maar zorg wel voor escaping van je data met mysqli_real_escape_string(), voordat je query (kwaadschikt) gemanipuleerd wordt.

En voer dan je query ook twee keer uit in plaats van je SQL-string te overschrijven. Nu INSERT nu alleen in je ticket tabel.
p
pascal klienstra
29-09-2019 16:44
oke maar hoe krijg ik de u_id het zelfde van table account naar table tickets u_id
- Ariën -
29-09-2019 16:44 gewijzigd op 29-09-2019 16:45
Is dat een ID vanuit auto_increment?
Zie ook mijn edit!
p
pascal klienstra
29-09-2019 16:47
Wat mijn idee eigenlijks is

table account
u_id
naam
avatar

table tickets
token
titel_naam
u_id

u_id het zelfde zodat ik met de select de token kan checken en de data afleest van de gebruiker en van de tickets
Thomas van den Heuvel
29-09-2019 16:49 gewijzigd op 29-09-2019 16:52
Frank Nietbelangrijk op 29/09/2019 14:45:53
Huh? prepared statements zijn een stuk veiliger als er zoals hier een get variabele in de query wordt opgenomen...

Dit is simpelweg niet waar. Het enige wat veiligheid ten goede komt is een juist gebruik. Wanneer je prepared statements verkeerd gebruikt is dit even onveilig als enige andere methode.

- Ariën - op 29/09/2019 14:51:10
Maar bij beiden moet je ervoor zorgen dat de invoer veilig is.

Ook dit klopt niet (helemaal). Je moet gewoon alle DATA in je query escapen. Het maakt dan niet uit of deze onveilig was of niet.

ontopic: wat ik wel zou doen is de hash ergens aan koppelen in de hyperlink. Als je enkel een hash in een URL meegeeft dan zou je deze veel makkelijker kunnen bruteforcen (alle combinatie afgaan totdat je een match hebt). Dit wordt al (een stuk) moeilijker als je een tweede argument toevoegt, zelfs een auto increment id kan al helpen. Dan moet namelijk de combinatie kloppen.
EDIT: tenzij dit een afgeschermd systeem is waar de gebruiker zich eerst moet authenticeren.

En ja, je zult ook op een of andere manier een verband moeten leggen tussen beide tabellen...

De tweede SQL-string ($sql) wordt overschreven door de eerste. Je zult echt twee queries moeten uitvoeren waarbij je het insert-id van de eerste query, die dus in wezen het user-id bevat, invoegt in de tweede query.

@Ariën: ja, zie de tabeldefinities in het oorspronkelijke bericht.

Reageren

Inloggen om te reageren