Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

Algemeen

FAQ

Links

Leden

Registreren

Links

Sociale media

Follow @sitemasters

Sitemasters

RSS

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

is deze $_GET veilig?

Nrzonline - 23/07/2006 02:33 (laatste wijziging 23/07/2006 03:02)
PHP ver gevorderde		php code - Bekijk de code zonder highlighting - Klap code in <?PHP function check_key ($key) { return ereg ("([a-z0-9])$", $key) ? TRUE : FALSE; } if (isset ($_GET['key'])) { if (check_key ($_GET['key'])) { //query } } ?> <?PHP function check_key ($key) { return ereg ("([a-z0-9])$", $key) ? TRUE : FALSE; } if (isset ($_GET['key'])) { if (check_key ($_GET['key'])) { //query } } ?> met a-z0-9 (controle) kan je toch nooit in je leven iets mee uitvoeren wat kwaad kan in mijn query? Verder nog even een vraagje: Mijn registratie systeem vereist dus activatie. Nu wil ik dus het gebruikers_id terug krijgen direct nadat de query is uitgevoerd. Daar was een command voor, maar die kan ik helaas niet weer vinden.. Iemand enig idee welk command dat is? Alvast bedankt, Nrzonline

6 antwoorden

Gesponsorde links

Maarten - 23/07/2006 03:52
Erelid		Controle op a-z / 0-9 is inderdaad veilig Als je echter ID's van items etc gaat doorspelen via $_GET is enkel 0-9 toegelaten, dus je kan mss 2 versies maken dan ofzo. Vraag 2: mysql_insert_id(); graag gedaan

haytjes - 23/07/2006 09:51 (laatste wijziging 23/07/2006 09:51)
JS gevorderde		om op vraag 1 terug te komen. Ik heb onlangs PHP.net: ctype_alnum tegengekomen. Normaal moet dit sneller zijn en ook beter. Ik heb het zelf wel nog niet gebruikt. Pas wel op, voor PHP5.1 ,als je een lege string ingeeft, returnt hij true. Na PHP5.1 returnt hij false. Ik zou dus: php code - Bekijk de code zonder highlighting - Klap code in return (!empty($key) \|\| ctype_alnum($key)) return (!empty($key) \|\| ctype_alnum($key)) en ps: moet dat niet hetvolgene zijn: php code - Bekijk de code zonder highlighting - Klap code in return ereg ("^[a-z0-9]$", $key) return ereg ("^[a-z0-9]$", $key)

demich - 23/07/2006 10:37 (laatste wijziging 23/07/2006 10:37)
Nieuw lid		ik maak mijn gets zo if (is_numeric($_GET["id"]) { $id = $_GET["id"]; } Das toch ook veilig (werk alleen met cijfers)

Nrzonline - 23/07/2006 13:13
PHP ver gevorderde		@murfy, bedankt! @haytjes, ook bedankt, ik ga het even testen en proberen met die commands aangezien ik die ook nog niet ken. @demich, yups met een numeriek getal gebruik ik ook altijd gewoon is_numeric() command. Dus daar was ik al van op de hoogte, maar het ging mij om a-z + 0-9 of je daar niets mee zou kunnen doen. Thanks anyway.

Rens - 23/07/2006 14:13
Crew algemeen		Citaat: Controleer of een variabele een nummer of een numerieke string is PHP.net: is_numeric accepteerd ook wiskundige notaties dacht ik. Daarvoor kun je beter PHP.net: ctype_digit gebruiken, die accepteerd alleen getallen.

Nrzonline - 23/07/2006 14:44
PHP ver gevorderde		Ok, ik gebruik nu ctype_digit & ctype_alnum voor mijn $_GET controles, bedankt allemaal.

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten