probleem al opgelost toch bedankt ;)

Waar komt $id vandaan?

mysql_fetch_assoc is overigens sneller dan mysql_fetch_object

id = '$id'

<?
include ("config.php");

$filmpje = "SELECT * FROM ALLETRAILERS WHERE id = '".$id."'";
$filmpjequery = mysql_query($filmpje) or die (mysql_error());
while ($list = mysql_fetch_assoc($filmpjequery)) {

$trailer = $list['trailer'];
$siteid = $list['siteid'];
$textkort = $list['textkort']
$episode = $list['episode'];
$website = $list['website'];
$voice_met_trailer = $list['voice_met_trailer'];
}
?>

Het meest voor de hand liggend is dat $id leeg is, en dat hij daarom de query niet kan uitvoeren. Want dan zou de query zijn:
SELECT FROM ALLETRAILERS WHERE id =

En dat gaat niet werken. Echo voordat je de query eens uitvoert, de variabele $id, dus zoals in het begin, dit stukje:
<?
include ("config.php");
echo 'De inhoud van $id is: ' . $id;
$filmpje = "SELECT * FROM ALLETRAILERS where id = $id";

Origineel gepost door Vincent Bruggeman

id = '$id'

Wanneer je zeker weet dat je daar een integer nodig hebt gebruiken we dus geen nears. Daarnaast zou ik de variabel er wel met quotes in zetten dus WHERE id = ".$id."

Origineel gepost door Arek van Schayk

Wanneer je zeker weet dat je daar een integer nodig hebt gebruiken we dus geen nears. Daarnaast zou ik de variabel er wel met quotes in zetten dus WHERE id = ".$id."

Zeker wel, daarmee voorkom je SQL injection.

Origineel gepost door Peter W.

Zeker wel, daarmee voorkom je SQL injection.

lol. Fout!

Laat die waardeloze beweringen even achter je of stuur ze via PM. Andere gebruikers leren hierdoor een foutieve manier van de codering aan omdat jij het ergens oneens over bent.

Een integer (cijfer) schrijven we in vrijwel alle web talen zonder quotes of nears dus ook in je SQL. Je komt met een argument waarbij je aangeeft dat het gebruik zonder nears ( ' ) kan leiden tot een SQL injection.

Foutief voorbeeld:
SELECT
*
FROM
`table`
WHERE `id` = '".$id."'

Dit voorbeeld bevat dus nears ( ' ) en werkt evengoed als een voorbeeld zonder nears. Maar wat nu als er in $id het onderstaande bevat?

$id = "'; DELETE FROM `table` WHERE `id` > '0";

Dan heb je deze SQL:

De SQL injection met $id die kwaadaardige SQL codering bevat:
SELECT
*
FROM
`table`
WHERE `id` = ''; DELETE FROM `table` WHERE `id` > '0'

Conclusie:
Met nears ( ' ) is het net zo onveilig als zonder nears dus kun je het beter schrijven zoals het hoort (zonder nears bij een integer).

Wat is wel de juiste oplossing?
Het is vrij simpel. Je weet dat $id alleen een cijfer mag bevatten? Controleer hem van te voren met ctype_digit (ctype_digit — Check for numeric character(s)) zodat je altijd zeker weet dat het een getal is wanneer je deze weg schrijft in je SQL.

Daarnaast hebben we ook nog de mysql_real_escape_string (mysql_real_escape_string — Escapes special characters in a string for use in a SQL statement) speciaal ontworpen om de inputs van de SQL te beveiligen.

Origineel gepost door Arek van Schayk

Laat die waardeloze beweringen even achter je of stuur ze via PM. Andere gebruikers leren hierdoor een foutieve manier van de codering aan omdat jij het ergens oneens over bent.

Nears gebruiken bij een numerieke variabele is niet fout; ofwel andere gebruikers leren niets fouts. PHP komt bij deze MySQL query niet eens aan bod.

Waarom ik dan toch de nears gebruik, ook al is de variabele zeker numeriek? Ik maak gebruik van functies die mijn MySQL-query's automatisch genereren. De functie zou alleen maar ingewikkelder en nutteloos groter worden als ik met een if-constructie de nears bij numerieke variabelen zou weglaten. Ook heeft het weglaten van de nears geen toevoeging.

Je argument over dat SQL injection nog wel mogelijk is met het gebruik van nears, klopt. Wil je SQL-injection tegengaan, zorg dan altijd voor het gebruik van de functie mysql_real_escape_string().

@Peter, blijkbaar begrijp je mij niet helemaal? Dat het werkt wil nog niet zeggen dat het correct is? Nogmaals: Nears gebruiken bij een integer is dus wel degelijk fout en dat blijf ik hier dus niet aan het herhalen. Nog maar een paar MySQL versies verder en je kunt geen integers afleveren als string. Daarnaast gebeurd het regelmatig dat leden vast zitten omdat ze een integer met nears in hun querie afhandelen.

Dat jij de moeite niet neemt om die toch wel onnodige if constructie toe te passen aan je functies moet je zelf weten. Als je wil dat je codering jaren lang goed blijft zul jij je moeten aanpassen aan de regels van deze coderingen.

Tot die tijd geeft dat nog geen reden om leden op dit forum verkeerde instructies te geven. Ook niet wanneer jij het zelf zo onnodig vind.
Aanvullend bericht:
Eigenlijk begrijp ik deze discussie niet... Je beweerd namelijk:

PHP Code:

<?php
$var = '100';
?>

Zou net zo kwalitatief vol zijn als:

PHP Code:

<?php
$var = 100;
?>

Origineel gepost door Arek van Schayk

Aanvullend bericht:
Eigenlijk begrijp ik deze discussie niet... Je beweerd namelijk:

PHP Code:

<?php
$var = '100';
?>

Zou net zo kwalitatief vol zijn als:

PHP Code:

<?php
$var = 100;
?>

Arek, je haalt dingen door elkaar en komt met uit de lucht gevallen beweringen. Jij en ik weten allebei dat dit eerste geval door PHP wordt gezien als string en het tweede geval als integer. Maar daar gaat het hier nu niet om, het gaat om het voordeel dat nears zouden bieden bij de door Vincent genoemde MySQL constructie. Er is geen voordeel, en er is geen sprake van dat dat ooit in een nieuwe MySQL versie wel het geval zou zijn, of dat het zelfs met nears niet meer zou werken.

Dit was mijn laatste reactie in dit topic, omdat dit een discussie tussen twee personen is en niet meer nuttig voor TS. Arek, als je nog vragen hebt of wilt reageren, PM me dan.