hulp nodig met query
- Onderwerp starter kyliang
- Startdatum
- Status
Woutertjuh88
Terugkerende gebruiker
- Lid geworden
- 20 nov 2005
- Berichten
- 3.532
Dat zou hem moeten zijn. Maar hij is nog niet echt veilig.
PHP:
mysql_query("INSERT INTO doom (id, pw) values (".'$_POST["id"]'.", ".' $_POST["pw"]' .";");
Frats
Terugkerende gebruiker
- Lid geworden
- 22 nov 2008
- Berichten
- 4.492
Je aanhalingstekens staan niet goed. Je bent bekend met het idee van Strings (tekst variabelen) neem ik aan?
Als je geen aanhalingstekens gebruikt, dan kan het zijn dat je parser probeert om Constants te maken van je input, of hij kan gewoon hard crashen. Als je geen correcte aanhalingstekens in je query hebt staat crasht de query omdat hij niet uit kan werken hoe je de query wil hebben.
In PHP:
En in SQL:
[sql]
SELECT * FROM table
WHERE getal = 1 AND tekst = 'iets van tekst'
[/sql]
Let dus op dat als je de query string opbouwt, de uiteindelijke query de juiste aanhalingstekens heeft, maar de PHP variabelen zelf ook!
Als je geen aanhalingstekens gebruikt, dan kan het zijn dat je parser probeert om Constants te maken van je input, of hij kan gewoon hard crashen. Als je geen correcte aanhalingstekens in je query hebt staat crasht de query omdat hij niet uit kan werken hoe je de query wil hebben.
In PHP:
PHP:
// goed
$var = "tekst.";
$var2 = "tekst. " . $var . " en meer tekst";
// fout
$var = tekst;
$var2 = tekst . $var;
// niet fout, maar ook niet netjes
$var = "tekst";
$var2 = "tekst $var";En in SQL:
[sql]
SELECT * FROM table
WHERE getal = 1 AND tekst = 'iets van tekst'
[/sql]
Let dus op dat als je de query string opbouwt, de uiteindelijke query de juiste aanhalingstekens heeft, maar de PHP variabelen zelf ook!
- Status
