WHERE bij update van tabel
WHERE tid hij moet het wel in de tabel zetten van tid
QUOTE: hoe kan ik dit oplossen
Wat oplossen?
Code (php)
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8
<?php
$csssql = "
UPDATE replys
SET
bericht = '" . $_GET['bericht'] . "',
naam = '".$_GET['edit']."'
WHERE tid = " . $_GET['id'];
?>
$csssql = "
UPDATE replys
SET
bericht = '" . $_GET['bericht'] . "',
naam = '".$_GET['edit']."'
WHERE tid = " . $_GET['id'];
?>
Gewijzigd op 01/01/1970 01:00:00 door Jan Koehoorn
Hipska:
wat is het probleem?
QUOTE: hoe kan ik dit oplossen
Wat oplossen?
QUOTE: hoe kan ik dit oplossen
Wat oplossen?
idd, ik volg het ook niet?
Hipska Ik bedoelde het zo als Jan Koehoorn al liet zien. Bedankt trouwens.
Een $_GET direct in de database zetten. Linke soep.
Hoe bedoel je ? Het is trouwens mijn eerste mysql scriptje Hoe kan ik het dan beter/veiliger maken of hoe bedoel je dat?
Je moet alle input altijd eerst controleren of er ook in zit wat je verwacht.
OKee ik snap het ja dat lijkt mij ook wel slim hoe kan ik dat doen dan het beste doen?
Kijk eens bij de tutorials, daar staat vast wel wat bij.
Hmm oke kun je ook nog 1 aanbevelen ofzo?
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
if (isset ($_GET['bericht']) {
$bericht = mysql_real_escape_string ($_GET['bericht']);
}
if (isset ($_GET['edit']) {
$edit = mysql_real_escape_string ($_GET['edit']);
}
if (isset ($_GET['id'] && is_numeric ($_GET['id'])) {
$id = intval ($_GET['id']);
}
if (isset ($bericht, $edit, $id)) {
$csssql = "
UPDATE replys
SET
bericht = '" . $bericht . "',
naam = '" . $edit . "'
WHERE tid = " . $id;
if (!mysql_query ($csssql)) {
trigger_error (mysql_error ());
}
}
?>
if (isset ($_GET['bericht']) {
$bericht = mysql_real_escape_string ($_GET['bericht']);
}
if (isset ($_GET['edit']) {
$edit = mysql_real_escape_string ($_GET['edit']);
}
if (isset ($_GET['id'] && is_numeric ($_GET['id'])) {
$id = intval ($_GET['id']);
}
if (isset ($bericht, $edit, $id)) {
$csssql = "
UPDATE replys
SET
bericht = '" . $bericht . "',
naam = '" . $edit . "'
WHERE tid = " . $id;
if (!mysql_query ($csssql)) {
trigger_error (mysql_error ());
}
}
?>
Gewijzigd op 01/01/1970 01:00:00 door Ilja
Als je de inhoud niet controleerd dan kan een gebruiker zo de URL van de pagina veranderen en er komt een ander resultaat in je database.
Bijvoorbeelt als er staat:
admin=0
dat verander ik natuurlijk dan naar 1, en hupla.. ik ben admin.
Daar moet je dus voor uitkijken...
Ilja:
Hee bedankt trouwens Jan Koehoorn met de goede bui :p
Ja geen punt hoor.
of nog erger, je hele database kan gedumpt worden en dan ben jij je gegevens kwijt :)
maar hoe zit het eigenlijks met Delete ? kan dat dan ook zo?
Dat werkt niet dus ik denk van niet is daar mischien ook een oplossing voor ?
Dit zou ik alleen maar wel goed beveiligen als ik jou was, want nu kan iemand gewoon letterlijk je hele database gaan legen door gewoon wat induviduele cijfertjes in te vullen...
Gewijzigd op 01/01/1970 01:00:00 door Sjoerd
Edit:
Sorry alle berichten staan in 1 database (of hoe je dat ook noemd) Dus dan is het logish dat het allemaal word verwijderd..
Sorry alle berichten staan in 1 database (of hoe je dat ook noemd) Dus dan is het logish dat het allemaal word verwijderd..
Gewijzigd op 01/01/1970 01:00:00 door Ilja
Vreemd, naar mijn inzien zou ie toch echt alleen maar de tid die je in de titelbalk invoert moeten verwijderen.