html code wordt niet opgeslagen in mysqldatabase
Onderstaande code wordt wel opgeslagen
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<link rel="stylesheet" href="scripts/5-hero-simpel/hero-simpel.css" />
<link rel="stylesheet" href="scripts/34-flexboxcontainer-2-4/flexboxcontainer-2-4.css" />
<div style="background-image: url(uploads/images/hero/<?php echo $imagepath1;?>)" alt="" title="" class="small-hero-bg-img">
<div class="small-hero-text">
<h1 class="font-white heading-medium" id="rijxx"><?php echo $titel1; ?></h1>
<h2 class="heading-small font-white"><?php echo $titel2; ?></h2>
<div class="container-flexbox-2-4">
<div class="box-flexbox-2-4">
<div class="button-boxpulse">
<a href="#" class="btn-pulse btn-pulse-white btn-pulse-animate"><?php echo $button1; ?></a>
</div>
</div>
<div class="box-flexbox-2-4">
<div class="button-container">
<a href="#" class="button-slidein">Verder</a>
</div>
</div>
</div>
</div>
</div>
Onderstaande code wordt niet opgeslagen
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<div id="rij-rijzoek">
<link rel="stylesheet" href="scripts/menu/1-1/1-1-menu-standaard.css" />
<header class="header"><a href="#" class="logo res-logo"><img src="images/logo/logo.png" title="Goochelshow" alt="Goochelshow voor alle leeftijden kinderen en volwassenen, kinderfeestjes, verjaardagen en evenementen. ook shows aan huis mogelijk"></a>
<input class="menu-btn" type="checkbox" id="menu-btn" />
<label class="menu-icon" for="menu-btn"><span class="navicon"></span></label>
<ul style="margin-top: 10px;" class="menu">
<li><a href="#"><i class="fa fa-fw fa-lg fa-home"></i>Home</a></li>
<li><a href="#"><i class="fa fa-fw fa-lg fa-youtube-play"></i>Video</a></li>
<li><a href="#"><i class="fa fa-fw fa-lg fa-phone"></i>Bel ons</a></li>
<button class="button-menu" onclick="#'"><i class="fa fa-fw fa-home"></i>Contact</button>
</ul></header>
<link rel="stylesheet" href="scripts/menu/1-1/button-menu.css" />
<div style="position:relative; padding-top:90px"></div>
<div id="verwijderen">
<!--
<button data-id="hero1-rijzoek" id="hero1-rijzoek" onclick="changeimage(this)">
verander bovenste afbeelding
</button>
-->
<button data-id="rij-rijzoek" onclick="wisselen(this)">
Wissel met bovenste rij
</button>
<button data-id="rij-rijzoek" onclick="remove_div(this)">
Verwijder rij
</button>
</div>
</div>
<link rel="stylesheet" href="scripts/menu/1-1/1-1-menu-standaard.css" />
<header class="header"><a href="#" class="logo res-logo"><img src="images/logo/logo.png" title="Goochelshow" alt="Goochelshow voor alle leeftijden kinderen en volwassenen, kinderfeestjes, verjaardagen en evenementen. ook shows aan huis mogelijk"></a>
<input class="menu-btn" type="checkbox" id="menu-btn" />
<label class="menu-icon" for="menu-btn"><span class="navicon"></span></label>
<ul style="margin-top: 10px;" class="menu">
<li><a href="#"><i class="fa fa-fw fa-lg fa-home"></i>Home</a></li>
<li><a href="#"><i class="fa fa-fw fa-lg fa-youtube-play"></i>Video</a></li>
<li><a href="#"><i class="fa fa-fw fa-lg fa-phone"></i>Bel ons</a></li>
<button class="button-menu" onclick="#'"><i class="fa fa-fw fa-home"></i>Contact</button>
</ul></header>
<link rel="stylesheet" href="scripts/menu/1-1/button-menu.css" />
<div style="position:relative; padding-top:90px"></div>
<div id="verwijderen">
<!--
<button data-id="hero1-rijzoek" id="hero1-rijzoek" onclick="changeimage(this)">
verander bovenste afbeelding
</button>
-->
<button data-id="rij-rijzoek" onclick="wisselen(this)">
Wissel met bovenste rij
</button>
<button data-id="rij-rijzoek" onclick="remove_div(this)">
Verwijder rij
</button>
</div>
</div>
Gewijzigd op 19/08/2023 19:24:14 door Paul Weiss
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
2
3
4
5
6
7
8
9
10
11
12
$code = trim( $_REQUEST['code'] );
$sql = "UPDATE paginatest SET code='$code' WHERE pagina = '" . $paginanaam . "'";
if ($conn->query($sql) === TRUE) {
echo "Record 1 updated successfully";
} else {
echo "Error updating record: " . $conn->error;
}
$sql = "UPDATE paginatest SET code='$code' WHERE pagina = '" . $paginanaam . "'";
if ($conn->query($sql) === TRUE) {
echo "Record 1 updated successfully";
} else {
echo "Error updating record: " . $conn->error;
}
Toevoeging op 19/08/2023 23:02:22:
met alle andere html code gaat alles goed, alleen met de ene. niet. is om gek van te worden. Ik heb wel een workarround gevonden, waarbij ik de htmo code niet in de database opsla maar steeds in een bestand.
tevens raad ik $_POST aan i.p.v. $_REQUEST.
Gewijzigd op 19/08/2023 23:11:59 door - Ariën -
$code = mysql_real_escape_string($code);
Ik zou anders eens je $sql echo'en, en kijken welke data er in staat.
Deze zou je dan ook bijv. in PhpMyAdmin moeten kunnen plakken en uitvoeren.
Ik zie ook dat de 2° lap html groter is dan de 1°. Is de veldgrootte groot genoeg?
Toevoeging op 20/08/2023 11:53:22:
Ik heb $code = mysql_real_escape_string($code); geprobeerd. maar dan wordt er geen enkele html code opgeslagen.
Gewijzigd op 20/08/2023 11:55:29 door Paul Weiss
Je kan procedureel (de functies) en object-georienteerd (met pijltje -> ) prima door elkaar mengen. Maar ik raad het af voor de leesbaarheid en de afwijkende syntax.
Dat merkt je met het testen van de html code niets van, maar hierdoor loopt het php bestand fout.
Bedankt iedereen voor het meedenken.
Gewijzigd op 20/08/2023 12:16:05 door - Ariën -
ik heb onderstaande (foute) html code die ik in de php variable plaats dan zie je in de editor al dat de code fout zit. of hoe zou ik dit dan voor de toekomst het beste kunnen oplossen? (ben nog vrij nieuw in php etc. en ben allemaal aan het testen ook).
opslaan in php variable
Code (php)
1
$code = 'onclick="#'">'
Ik heb het idee dat er meer is dan jij tot nu toe laat zien.
Bijvoorbeeld <spaan> (ipv <span>) zal niet begrepen worden door je browser. Deze slaat dan de tag over.
<input verplicht="verplicht"> idem: dat wordt een gewone <input>. En mocht er een browser zijn die het wel begrijpt, dan doet _die_ er wel wat mee.
Dat gezegd hebbend: het is niet zo dat er als er 1 tag staat die niet begrepen wordt, je hele lap code ineens blanco wordt.
Niet in de browser en al helemaal niet in de database.
Immers: je post nu hierboven net ook een stuk code waarin een extra ' staat. Dat wordt nu ook in de database van phphulp opgeslagen.
Het ligt dus puur aan het ontbreken van de escaping in de opbouw van de query.
Mocht je in je menu een kopje hebben dat over "plaatjes" gaat, dan wordt het opgeslagen.
Is er een kopje "foto's" dan gaat het wederom mis.
Pas dus je escaping altijd toe.
Argumenten om niet te escapen:
* in mijn html zit geen '
* het is veilig want ik ga zelf geen sql-injecten in mijn eigen database.
kun je eenvoudig beantwoorden met:
* je doet het nu per ongeluk, maar als je wat javascript opneemt, gebruik je vaak wel ' en anders is <foo x='bar'> ook geldige hmtl. Dat argument gaat alleen NU op en niet in de toekomst.
* zie verhaal over foto's hier boven.
Gewijzigd op 21/08/2023 09:55:32 door Paul Weiss
Paul Weiss op 21/08/2023 09:44:03:
bedankt voor de toelichting. In de database wordt puur html opgeslagen die ik zelf van tevoren heb gebouwd. dus in princicpe heb ik geen escaping nodig. mocht een stukje html code niet worden opgeslagen dan weet ik dus dat er een foutje in de string zit.
Dat is een foute gedachte. Een ' die een query om zeep kan helpen kan zich prima in een HTML-code bevinden. En zo zullen er nog meer karakters of combinaties bestaan. Dus ALTIJD escapen met de genoemde functie.
Lees topic even terug a.u.b.
Gewijzigd op 21/08/2023 12:06:28 door - Ariën -
Anyway: naast een stukje uitleg over wat Ariën ook al zegt: je weet nooit zeker of in de toekomst escapen toch nodig is. Des noods omdat je een woord met een apostrof op wilt staan of omdat je toch javascript opneemt.
daarnaast had ik 2 voorbeelden:
https://www.php.net/manual/en/mysqli.real-escape-string.php example #1
Code (php)
1
2
3
4
5
2
3
4
5
<?php
$code = $conn->real_escape_string($code);
$paginanaam = $conn->real_escape_string($paginanaam);
$sql = "UPDATE paginatest SET code='". $code."' WHERE pagina = '" . $paginanaam . "'";
?>
$code = $conn->real_escape_string($code);
$paginanaam = $conn->real_escape_string($paginanaam);
$sql = "UPDATE paginatest SET code='". $code."' WHERE pagina = '" . $paginanaam . "'";
?>
of prepared statement (voorkeur): https://www.php.net/manual/en/mysqli.prepare.php weer example #1
Code (php)
1
2
3
4
5
6
7
8
9
2
3
4
5
6
7
8
9
<?php
$sql = "UPDATE paginatest SET code=? WHERE pagina = ?";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('ss', $code, $paginanaam);
$stmt->execute();
?>
$sql = "UPDATE paginatest SET code=? WHERE pagina = ?";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('ss', $code, $paginanaam);
$stmt->execute();
?>
Paul Weiss op 19/08/2023 23:00:29:
Bedankt voor je reactie. De html code wordt in een variable opgeslagen. Dat gedeelte gaat nog goed. vervolgens stuur ik doormiddel vam ajax deze door naar onderstaande php die de data vervolgens moet opslaan in de database
2 gedachtes hierover.
1. Een html block dat o.a. het '#' teken bevat in javascript toewijzen aan een variable lijkt me vrij harig. Zou zeker eerst eens kijken hoe deze string de reis van de browser naar de server overleeft.
Zet voor de aardigheid eens een var_dump($_POST);die(); in je php script en kijk even of wat je verwacht dat binnenkomt overeenkomt met wat er daadwerkelijk binnenkomt. Indien het verschilt kijk dan even of je met de juiste character encoding nog iets kunt oplossen in je javascript maar bedenk wel dat je geen controle hebt over de default characterset die de browser van je bezoeker gebruikt en of javascript de door jouw verwachte daarvan kan afdwingen.
2. Probeer eens in plaats van mysqli de pdo wrapper te gebruiken. Dan hoef je niet meer zelf te hannesen met escape en unescape. En gebruik dan ajb prepared statements. Je insert query lijkt me behoorlijk eng, zeker omdat ik vermoed dat de inhoud van $code al in de browser gemanipuleerd kan worden.
Misschien beter dit eens proberen:
// creeer eerst een pdo object, in dit voorbeeldje $oPdo en doe dan het volgende:
Code (php)
1
2
3
4
5
6
7
8
9
10
2
3
4
5
6
7
8
9
10
$oQry = $oPdo->prepare( "UPDATE paginatest SET code=:code WHERE pagina=:pagina" );
$oQry -> execute( array( ':code'=>$code, ':pagina'=>$paginanaam) );
if($oQry->rowCount()===1)
{
// ging goed
}
else
{
// ging niet goed.
}
$oQry -> execute( array( ':code'=>$code, ':pagina'=>$paginanaam) );
if($oQry->rowCount()===1)
{
// ging goed
}
else
{
// ging niet goed.
}
Gewijzigd op 22/08/2023 15:55:10 door Evert Bennekom
Ivo P op 21/08/2023 12:54:29:
hmm., mijn post is kennelijk niet opgeslagen.
Anyway: naast een stukje uitleg over wat Ariën ook al zegt: je weet nooit zeker of in de toekomst escapen toch nodig is. Des noods omdat je een woord met een apostrof op wilt staan of omdat je toch javascript opneemt.
[...]
Anyway: naast een stukje uitleg over wat Ariën ook al zegt: je weet nooit zeker of in de toekomst escapen toch nodig is. Des noods omdat je een woord met een apostrof op wilt staan of omdat je toch javascript opneemt.
[...]
Toevoeging op 28/08/2023 10:40:02:
Ik heb beide geprobeerd. Maar dan wordt geen enkele code opgeslagen. als ik real_escape_string samenvoeg met de request functie zoals onderstaande voorbeeld dan werkt het wel.
$code = $conn->real_escape_string($_REQUEST['code'] );
Toevoeging op 28/08/2023 10:46:11:
Evert Bennekom op 22/08/2023 15:53:47:
2 gedachtes hierover.
1. Een html block dat o.a. het '#' teken bevat in javascript toewijzen aan een variable lijkt me vrij harig. Zou zeker eerst eens kijken hoe deze string de reis van de browser naar de server overleeft.
Zet voor de aardigheid eens een var_dump($_POST);die(); in je php script en kijk even of wat je verwacht dat binnenkomt overeenkomt met wat er daadwerkelijk binnenkomt. Indien het verschilt kijk dan even of je met de juiste character encoding nog iets kunt oplossen in je javascript maar bedenk wel dat je geen controle hebt over de default characterset die de browser van je bezoeker gebruikt en of javascript de door jouw verwachte daarvan kan afdwingen.
2. Probeer eens in plaats van mysqli de pdo wrapper te gebruiken. Dan hoef je niet meer zelf te hannesen met escape en unescape. En gebruik dan ajb prepared statements. Je insert query lijkt me behoorlijk eng, zeker omdat ik vermoed dat de inhoud van $code al in de browser gemanipuleerd kan worden.
Misschien beter dit eens proberen:
// creeer eerst een pdo object, in dit voorbeeldje $oPdo en doe dan het volgende:
[....]
Paul Weiss op 19/08/2023 23:00:29:
Bedankt voor je reactie. De html code wordt in een variable opgeslagen. Dat gedeelte gaat nog goed. vervolgens stuur ik doormiddel vam ajax deze door naar onderstaande php die de data vervolgens moet opslaan in de database
2 gedachtes hierover.
1. Een html block dat o.a. het '#' teken bevat in javascript toewijzen aan een variable lijkt me vrij harig. Zou zeker eerst eens kijken hoe deze string de reis van de browser naar de server overleeft.
Zet voor de aardigheid eens een var_dump($_POST);die(); in je php script en kijk even of wat je verwacht dat binnenkomt overeenkomt met wat er daadwerkelijk binnenkomt. Indien het verschilt kijk dan even of je met de juiste character encoding nog iets kunt oplossen in je javascript maar bedenk wel dat je geen controle hebt over de default characterset die de browser van je bezoeker gebruikt en of javascript de door jouw verwachte daarvan kan afdwingen.
2. Probeer eens in plaats van mysqli de pdo wrapper te gebruiken. Dan hoef je niet meer zelf te hannesen met escape en unescape. En gebruik dan ajb prepared statements. Je insert query lijkt me behoorlijk eng, zeker omdat ik vermoed dat de inhoud van $code al in de browser gemanipuleerd kan worden.
Misschien beter dit eens proberen:
// creeer eerst een pdo object, in dit voorbeeldje $oPdo en doe dan het volgende:
[....]
Ik zal bovenstaande ook eens testen. bedankt iedereen.
Toevoeging op 28/08/2023 12:05:52:
hier even nog een update: de html code kan inderdaad deels gemanipuleerd worden door gebruik te maken van de contenteditable functie ivm aanpassen van de tekst, aanpassen tekstkleur, heading etc.. de html elementen worden naar gelang van keuze ingeladen. Uiteraard kunnen deze ook weer worden gemanipuleerd worden door binnenin de inspector van de browser (onjuiste) aanpassingen te maken. Ik vraag mij dan wel af of er uberhaupt wel een echt veilige manier is? Kan niet elke content gemanipuleerd worden als je het echt wilt? Ik heb wel een andere manier gevonden door de content i.p.v. in de database op te slaan in een bestand. mocht er iets fout gaan is er niet aan de hand natuurlijk. Ik heb nu trouwens alle bovenstaande oplossingen geprobeerd en bij geen enkele wordt de code goed verwerkt om op te kunnen slaan in de database. Enige die werkt is dus met de onderstaande functie waarbij de content van een form wordt opgeslagen in een variable: de inhoud wordt dan altijd goed doorgestuurd naar de database. Maar de vraag is hoe veilig is deze?
$code = $conn->real_escape_string($_REQUEST['code'] );
Gewijzigd op 28/08/2023 11:30:32 door - Ariën -
Code (php)
1
$code = $conn->real_escape_string($_REQUEST['code'] );
die regel escape-t de inhoud van je invoer.
Dat is dus prima.
Dat de inhoudt van de pagina in de browser aan te passen is, daar ontkom je niet aan. Dat kun je zelfs op de pagina van de Rabobank doen. Maar dat heeft alleen effect voor de gebruiker van die browser zelf.
--
De ene route is om de invoer te escapen voor je deze invoer in de query plaatst.
De andere route is om een "prepared statement" te gebruiken. Daarbij zijn placeholders in de query aanwezig waarbij je php/database zelf zorgt voor het escapen.
Of dat via Mysql objecten gaat of via PDO, maakt niet heel veel uit. De syntax van PDO is wat duidelijker, vind ik, maar technisch maakt het niet veel verschil.
Aangezien je nu op Mysql zit, zou ik niet omwille van Prepared Statements ineens op PDO overstappen.
Maar het is het een of het ander.