anoniem Geplaatst: 24 augustus 2004 Delen Geplaatst: 24 augustus 2004 voordat ik een (waarschijnlijk) goed script verknal, graag jullie mening, ik heb namelijk het gevoel dat het script dubbel werk doet.. waarom deze handeling? [code:1:d5bc4fa356] $klant_voornaam = $_POST['klant_voornaam']; $klant_email = $_POST['klant_email']; $klant_wachtwoord = $_POST['klant_ww']; $sql_query = "SELECT * FROM klanten WHERE klant_email='".$klant_email."';"; $result = mysql_query($sql_query); [/code:1:d5bc4fa356] als dit volgens mij net zo goed kan? [code:1:d5bc4fa356] $sql_query = "SELECT * FROM klanten WHERE klant_email='".$_post['klant_email']."';"; $result = mysql_query($sql_query); [/code:1:d5bc4fa356] of zie ik een veiligheidsiets over het hoofd of zo? Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 kan het zijn omdat de auteur verder in het script niet elke keer $-POST wilt gebruiken of is dit een makkelijke manier om die global-variablen=OFF te omzeilen? Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 Waarschijnlijk het eerste: de programmeur wil werken met lokale/eigen variabelen. Zelf werk ik ook altijd liever met een lokale kopie van $_POST, eventueel gevuld via een wrapperfunctie zodat er nog wat extra checks kunnen plaatsvinden. Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 pff wat een werk als je een formulier met 30 vragen eerst lokaal gaat omzetten.. Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 [code:1:598b998621] $sql_query = "SELECT * FROM klanten WHERE klant_email='".$_post['klant_email']."';"; $result = mysql_query($sql_query); [/code:1:598b998621] Zo voer je natuurlijk geen enkele controle uit op wat er gesubmit wordt en dus laadt je een groot veiligheidslek open. Ook is de kans groter op een foute query mochten er rare tekens in een van de waardes staan. Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 over dat veiligheidslek ben ik het met je eens maar het ging me om die tussenstap.. die is in dit voorbeeld dus overbodig. wat inderdaad beter zou zijn is: [code:1:ff1c0fee7b]$klant_email = htmlspecialchars($_POST['klant_email']);[/code:1:ff1c0fee7b] of iets dergelijks bedoel je dat? Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 ja precies. En op zich kun je dat ook wel allemaal in 1 aanroep doen, maar dan wordt het erg onoverzichtelijk en spaart het je eigenlijk nouwelijks tijd. Ook kan ik me voorstellen dat je meer dan 1 bewerking op een waarde wil doen (bijvoorbeeld html filteren [i:d695c8021c]en[/i:d695c8021c] checken op vreemde karakters). Als je dat overzichtelijk bovenaan doet, kun je snel terugvinden wat je met welke variabele doet, alles in 1 keer maakt dat iets onoverzichtelijker. Quote Link naar reactie
anoniem Geplaatst: 24 augustus 2004 Auteur Delen Geplaatst: 24 augustus 2004 [quote:bafadeabb2="sander16v"]pff wat een werk als je een formulier met 30 vragen eerst lokaal gaat omzetten..[/quote:bafadeabb2] Wie heeft gezegd dat programmeren altijd makkelijk moet zijn ;) Maar een slimme aanpak is het halve werk natuurlijk. Quote Link naar reactie
anoniem Geplaatst: 27 augustus 2004 Auteur Delen Geplaatst: 27 augustus 2004 ik ben er inmiddels wel achter dat ik voorlopig even het "mooie" programmeerwerk moet vergeten maar dat ik eerst met de functionaliteit aan de gang moet gaan... waar ik de meeste moeite mee heb is om het gebeuren uniform te houden en ik probeer php en html te scheiden maar dat kan knap lastig zijn. Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen