#2 Simpel Forum compleet in te bouwen V.2

Heb nog niet hele Tut doorgelezen maar viel me wel gelijk op dat je niks tegen SQL injection doet.

Maak gebruik van addslashes bij SQL Query's

Vooral wanneer je $_POST's of $_GET's in Query's gebruikt is dit erg belangrijk. ( dus bij alle Query's INSERT, UPDATE, DELETE, SELECT)

@thijs..ik gebruik in alle gevallen mysql_real_escape_string..
bij diverse SELECTs is het niet nodig in dit geval maar als je hem helemaal gezien hebt zie je dat ik wel degelijk dingen doe tegen sql injection

@ Marvin

Kijk eens onderaan: http://www.phphulp.nl/php/tutorials/2/492/1181/
Zie diverse Querys met $_GET erin maar nergens iets met mysql_real_escape_string of addslashes?
Zo staan er her en der nog een paar voorbeelden.

@thijs
daar heb je gelijk in, de verwijder pagina is niet helemaal juist inderdaad..
zal het aanpassen..

De functie trim doet heel andere dingen dan is_nummeric ;)
Gewoon altijd trim() gebruiken bij $_POST

@thijs
- niet bestaande nummers gefixed
- letters kunnen nu ook niet meer..
fixxed..

Ik vindt dit een hele goeie tutorial. Vooral voor de mensen die beginnen met MySQL. Alles wordt goed uitgelegt.

Even een vraagje; Ik was je tut aan't lezen.

Bij de registreer pagina kwam ik bij dit:


In die code maak je je functies, maar je roep ze toch nergens aan...
neem nu:

Hier maak je je functie, maar er staat nergens


Ben ik mis, of ga je hier alleen maar je functies maken?

Mvg,
Jens

leuk hoor :)

alleen ik zie het verschil tussen lid en moderator niet :P (behalve in je profiel)

@jens,
kijk eens op regel 31,37 en 39 van het stuk dat je net zelf post ;)

@leroy
een lid kan alleen dingen toevoegen. En een moderator kan reacties + complete topics verwijderen (zie de 'V' in een geopende topic). een admin kan reacties+topics verwijderen + users verwijderen..

Hmm in de test zie ik niet iets wat je meer kunt dan een gewoon account.

ok?, niet gezien;) :p
soz:)

@arjan..
nogmaals
zie de 'V' in een geopende topic

open eens een topic.. je ziet diverse blauw onderstreepte V's staan daarmee verwijder je iets.. dit kan een moderator maar een normaal lid niet..

@Marvin
Ten eerste Complimenten Marvin. Ik vind dat je goed je tijd besteed hebt en ik vind sommige commentaar niet terecht maar dat zal hun een worst wezen :>.
Ik had alleen een vraagje.. Hoe ga je je eigen afbeelding uploaden? en wat is de bedoeling van Update knopje in dit geval?

@VAL
dankje voor je compliment..
je kunt daar een link invullen naar een plaatje op het web..
daarna druk je op update en staat dat plaatje in het profiel..

ik krijg de hele tijd een error:
Warning: session_start(): Cannot send session cookie - headers already sent by (output started at /home/www/infusoria.freehostia.com/verbind.php:6) in /home/www/infusoria.freehostia.com/inloggen.php on line 15

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at /home/www/infusoria.freehostia.com/verbind.php:6) in /home/www/infusoria.freehostia.com/inloggen.php on line 15

Warning: Cannot modify header information - headers already sent by (output started at /home/www/infusoria.freehostia.com/verbind.php:6) in /home/www/infusoria.freehostia.com/inloggen.php on line 19

ik heb het voorbeeld volledig overgenomen en steeds heb ik deze error....

Wat is er nu verkeerd?

Je hebt een output voor je sessie staan..
Kijk hier eens naar:)

// dit krijg ik bij toevoegen reactie:

Parse error: parse error, unexpected T_VARIABLE in ...../toevoegen_reactie.php on line 27

// en dit op het begin na de login:

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at ........../verbind.php:12) in ........../inloggen.php on line 17

kan iemand mij hiermee helpen??

@bob
toevoegen_reactie heeft toch geen eens 27 lines? stuur de code eens in een berichtje naar me die jij gebruikt hebt..dan post ik mijn reactie hier wel.. (anders wordt dit commentsstuk zo uitgebreid lang..)

op regel 27 is

if($resultaat){

@bob kijk even in de tutorial ik heb de pagina iets aangepast..
ik denk dat je een oudere versie van php hebt maar dit moet weer werken zo met deze nieuwe schrijfwijze.. laat maar even weten..

ik keek even in de totural en ik zag dat ik een andere code had.

je kan tegen sql injection ook met foreach de get/post/cookie superglobals doorlopen en op alle waardes addslashes doen

@ferdy,
dat kan.. ik heb het op een andere manier aangepakt ;)

$reactie_bericht = trim(mysql_real_escape_string(htmlentities(wordwrap($_POST['reactie_bericht'],100, "\n", true))));

Kan dat ook of moet je het zo doen?

$reactie_bericht = trim($_POST['reactie_bericht']);

$reactie_bericht = wordwrap($reactie_bericht, 100, "\n", true);

$reactie_bericht = mysql_real_escape_string($reactie_bericht);

$reactie_bericht = htmlentities($reactie_bericht);

want dat daar boven lijkt mij makkelijker of is dat niet mogenlijk?

Btw vette tutorial ik ga binnekort eens kijken of iek er zelf eentje kan maken ^^

@martijn
dat is idd hetzelfde..
in de tutorial heb ik bewust gekozen voor deze manier zodat de echte beginners zien dat het in stappen gebeurd.. maar zo kort als jij doet is hetzelfde.. leuk dat je het een goeie tutorial vind.. daar doe ik het voor toch..

suc6 dan maar

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\verbind.php:6) in C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\inloggen.php on line 15

Warning: Cannot modify header information - headers already sent by (output started at C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\verbind.php:6) in C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\inloggen.php on line 19

Ik krijg deze error aangezien dat ik alles exact heb overgenomen denk ik dat het aan de instellingen licht van me server weet jij wat ik moet veranderen om het werkende te krijgen?

@martijn
lees even de reactie van jens ergens hierboven..
daar staat jouw antwoord..

suc6

Ik snap echt niet wat ik fout doe als ik daar in dat html bestandje kijk zie ik dat er geen html codes of echo gebruikt mag worden voordat je session_start() of header() mag gebruiken maar dat kan ik helemaal nergens vinden. deze code heb ik :
verbinden.php

inloggen.php

kan jij mij zeggen wat ik verkeerd heb aangeroepen?

@martijn
stuur je index.php eens naar mij toe in een berichtje (PM) daar wordt inloggen.php ten slotte geinclude..dus als daar al iets word ge?cho'ed VOOR die include krijg je ook die fout die jij krijgt..

Jammer dat je nog steeds niet checkt of wel heel je formulier is gepost (je checkt alleen of de controle variabele bestaat). Wat nou als je alleen de controle variabele post en de rest van het form niet? Wat heb je dan gecontroleerd?

Misschien kan je ook een leuke database abstractie laag gebruiken. Misschien staat er wel een leuke op phphulp.

Heb geen geduld om heel de tut door te lezen, maar het ziet er niet slecht uit, al is het niet mijn stijl.

De demo lag er even een week ofzo tussenuit zie ik net..
hij draait weer op volle toeren..

Heee, zit er z???r netjes uit moet ik zeggen;)

Alleen heb ik 1 ding op te merken en dan wel dit
session_start();
$_SESSION['gebruiker_id'] = $rij['gebruiker_id'];
$_SESSION['gebruiker_naam'] = $rij['gebruiker_naam'];
$_SESSION['gebruiker_rank'] = $rij['gebruiker_rank'];

tip voor iedereen, NOOIT, MAAR DAN OOK NOOIT session_start(); gebruiken. Veel veiliger is dit:


include bovenstaande script op elke pagina gewoon:




ipv 'session_start()' op iedere pagina

(Trouwens, dit is niet van mijzelf: alle credits gaan naar Sijmen Ruwhof; http://www.phpfreakz.nl/artikelen.php?aid=106&page=14 )

Voordeel is dat het weer een beetje 'veiliger' is.

Wachtwoorden worden onversleuteld verstuurd, hoe moeilijk kan het zijn om er eentje te onderscheppen? Daarnaast zou ik een aanval altijd vanuit hetzelfde netwerk proberen uit te voeren. Denk aan een bedrijfsnetwerk of een draadloos thuisnetwerk. Daar biedt deze methode geen beveiliging tegen.

Je blokkeert meteen het gebruik van sommige proxy-systemen (bijvoorbeeld Tor) en even wisselen van netwerk (bedraad naar draadloos vd buren) is er ook niet meer bij zonder opnieuw in te loggen. Zo is ook een router-reset niet prettig. Veel netwerkaanbieders (vooral in Belgi?) geven je om de zoveel tijd een ander IP-adres. AOL bijv. om de zoveel tijd, anderen bij iedere keer dat de router zich aanmeld bij de service provider.

En even serieus, hoe goed moet zo'n forum nu werkelijk beveiligd zijn? Zo goed dat gebruikersgemak eronder mag lijden?

De tip om session_save_path te verplaatsen is trouwens wel een goeie. Dat voorkomt het lekken van 'persoonlijke informatie' waneer je hosting provider amateuristisch bezig is. En die situatie is een stuk re?ler dan iemand die sessies steelt.

Dus jij wilt dit ervan maken? Hmm, eigenlijk heb je wel gelijk.

ok

Voor de mensen die errors krijgen van headers die kunnen het beste helemaal bovenaan als eerste na de opening van php natuurlijk ob_start(); zetten

Sinds wanneer worden leden ook beheerders? =D

Foutje in de uitleg: http://www.phphulp.nl/php/tutorials/2/492/1181/

case 1: $rank = "Beheerder"; break;
// als $rij['gebruiker_rank'] = 1 $rank wordt: beheerder
case 2: $rank = "Moderator"; break;
// als $rij['gebruiker_rank'] = 2 $rank wordt: moderator
case 3: $rank = "Lid"; break;
// als $rij['gebruiker_rank'] = 3 $rank wordt: beheerder

dus rank 1 en 2 is zijn admins en rank 2 mod? :P

edit: had de reactie hierboven niet gezien :$

Tsja dat is inderdaad een tikfoutje in de comment... (copy/paste error)
geen scriptfout in ieder geval..
bedankt voor het melden.. zal het even aanpassen

Weetje, eigelijk wil ik zown forum als ze hier ook hebben.
Gewoon simpel en goed (Admin panel)

Ik krijg em toch niet helemaal lekker aan de praat. Ik krijg geen foutmeldingen maar als ik op index.php zit in mijn browser en ik druk op een topic, blijf ik gewoon index.php zien, dit geldt voor alles waar ik op druk.
Dit staat er in de URL: localhost/forum_test/index.php?bekijk_topic=1

Ik weet niet of dat goed is, als iemand mij zou kunnen helpen, heel erg bedankt. Heb al van alles geprobeerd maar kom er niet meer uit!

Bastiaan

Ik heb een vraag
ik heb id 2 gewist!
Iemand die regristeerd zich en dat krijg hij id 3
ik wil dat de id's gevultworden van 1 tm 10000 :)
hoe moet ik dat doen?

hoe kan ik iemand admin maken?
dit snap ik niet helemaal en ik krijg ook die error

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\verbind.php:6) in C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\inloggen.php on line 15

Warning: Cannot modify header information - headers already sent by (output started at C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\verbind.php:6) in C:\Documents and Settings\Martijn van Wensveen\My Documents\www\forums\inloggen.php on line 19

maar goed die los ik wel op alleen hoe maak ik iemand admin?
Gr Ricardo

hallo?

hoi ricardo,

Ik ben ook deze tut aan het uitproberen. Het is erg handig en goed uitgelegd.
Op veel servers staat phpMyAdmin. Als je hier gebruik van kunt maken kun je inloggen en naar de database gaan. Klik bij gebruikers op verkennen. Daarna kun je als je de gebruikers ziet staan de velden wijzigen. Hier kun je dus ook de rank wijzigen van 3 naar bijv. 1 (1=admin).
Succes

Bedankt ! MvGr Ricardo had de hoop bijna opgegeven maar het is nu gelukt!

Ik kan geen members verwijderen hebben jullie dat ook?

@Mitch:
Ik kan ook geen members verwijderen.

Ik kan ook geen plaatje (avatar) toevoegen.

In gebruiker.php staat:



moet dit niet zijn:


Hoe kun je anders een afbeelding toevoegen?

Amai chique gedaan Marvin!!:D
alleen 1 klein probleemke: als ik een foto wil uploaden, dan krijg ik geen afbeelding te zien mar alleen zon rechthoek me daarin een driehoek, cirkel en vierkant erin:S

en dit:

Access denied for user 'xxx'@'localhost' (using password: NO)

wat betekend dat?

dat er geen paswoord word gebruikt en jij dit wel doet (database)

Is het niet zo dat hij zelf geen password invoert, maar dat die er wel hoort te zijn? In elk geval moet je de gegevens voor de verbinding met de database even goed nakijken.

Ik heb een bestaand login systeem in dit forum gebouwd, maar bij een topic/reactie posten, post hij de gebruikers_id/gebruikers_naam niet.
En ik heb geen flauw idee hoe ik dat wel werkend krijg.

De volgende link is mijn login
http://evolt.org/node/60384

Dat is het login systeem wat ik gebruik.

Wat moet ik doen om by "Posted by" de username van de poster te laten verschijnen?

Alvat bedankt!
Je kan mij ook altijd toevoegen op msn als dat makkelijker is: jeremy a grolman punt nl

Goede tut!.. Alleen doet het voorbeeld het bij mij niet..
Da?s wel jammer, maar goede tutorial!

Marvin, bedankt voor de uitleg. Het is een mooi opstapje om zelf mee verder te gaan. Top.

He marvin, een mooie tutorial, mijn complimenten.

Maar ik heb het volgende probleem. Alles doet het wel bij mij, maar ik kan geen gebruikers verwijderen en ik heb geen idee hoe dat je moet aanpassen.

Hopelijk heb je hier een antwoord op.

Goed gedaan. Maar als ik mijn forum bezoek verschijnt er een lege pagina. Moet ik handmatig nog iets doen? Of doet die php code dat?

Als je de registratie invuld word je automaties als lid(3) geregistreerd. Maar hoe kun je inloggen als beheerder(1) of moderator(2) ik heb in de database mijn gebruikers_rank zelf maar ff gewijzigd om de boel te testen, maar kan dat ook anders, want ik zie nergens een apparte inlog voor de beheerder en moderatos staan

Bedenk wel, deze tut is 3 jaar oud... de maker hiervan is misschien al weg.

Nee hoor, hij was op 30/08/2010 20:25:15 nog aanwezig :-)

Grote kans dat hij nog wel eens terug komt.

Erec error in register

@jeffrey, dit script is al 4 jaar oud. Je moet dus niet verwachten dat alles nog goed is en goed beveiligt is.

de php versie is vernieuwd
de mysql versie is vernieuwd

sommige functies zijn verwijderd
sommige vernieuwd

Thanx Marvin! Gewoon to the point, erg praktisch en bruibaar :)

Groetjes,
Hermes

ik zou dit script niet meer gebruiken.
reden:
verouderd