Hallo,

Ik heb een probleem, voor een website die ik heb is het nodig dat er een variabele wordt laten zien maar dat het script (php) dat hierin zit ook wordt uitgevoerd.

Het is dus zo (voorbeeld):
$check['url'] = http://www.site.nl/<? echo $_SESSION['user_id']; ?>

En dit wordt laten zien:

PHP Code:

echo".$check['url']." 


Weet iemand hoe ik dit moet doen?

Want nu wordt dit geechod:
http://www.site.nl/<? echo $_SESSION['user_id']; ?>


Al vast bedankt!

Origineel gepost door Bert Van der plas

Hallo,

Ik heb een probleem, voor een website die ik heb is het nodig dat er een variabele wordt laten zien maar dat het script (php) dat hierin zit ook wordt uitgevoerd.

Het is dus zo (voorbeeld):
$check['url'] = http://www.site.nl/<? echo $_SESSION['user_id']; ?>

En dit wordt laten zien:

PHP Code:

echo".$check['url']." 


Weet iemand hoe ik dit moet doen?

Want nu wordt dit geechod:
http://www.site.nl/<? echo $_SESSION['user_id']; ?>


Al vast bedankt!

Ik snap niet precies wat je wilt, maar ik denk dat je escapen bedoelt?
Even een backslash gebruiken om aan te geven dat het letterlijk moet worden weergeven (\)

Code:

<?php
$check['url'] = "http://www.site.nl/".$_SESSION['user_id'];
echo $check['url'];
?>

Origineel gepost door Niek Vleugels

Ik snap niet precies wat je wilt, maar ik denk dat je escapen bedoelt?
Even een backslash gebruiken om aan te geven dat het letterlijk moet worden weergeven (\)

Wat is escapen?
Ik wil dat het juist niet letterlijk wordt weergegeven..
Nu wordt het wel letterlijk weergegeven en wordt <? echo $_SESSION['user_id']; ?> niet uitgevoerd.
Aanvullend bericht:

Origineel gepost door m. otten

Code:

<?php
$check['url'] = "http://www.site.nl/".$_SESSION['user_id'];
echo $check['url'];
?>

Het probleem is dat de site's ergens worden ingevoerd en het niet bij allemaal moet..
Aanvullend bericht:
Niemand?

Laat je hele code eens zien, want die dingen wat je nu laat zien moeten zonder twijfel PHP errors laten zien en je klinkt alsof die er niet zijn waaruit ik dan kan concluderen dat je maar een paar stukjes laat zien van de daadwerkelijke code.

Als $check['url'] de volgende inhoud bevat:

In example:

PHP Code:

$check['url'] = "http://www.site.nl/<? echo $_SESSION['user_id']; ?>";

Zul je daar dus gewoon van moeten maken

PHP Code:

$check['url'] = "http://www.site.nl/". $_SESSION['user_id']; 


Ik heb inderdaad bijna alle code weggehaald, ik zal proberen het beter uit te leggen.

Via een adminpaneel vul ik ergens een url in (www.website.nl/<? echo $_SESSION['user_id']; ?>).
Op een andere paginas worden alle urls uit een database gehaald:

PHP Code:

 echo"
 ".$check['url']."
 "; 


Nu wordt $check['url'] laten zien als www.website.nl/<? echo $_SESSION['user_id']; ?> terwijl dit www.website.nl/105 moet zijn.

De php wordt dus niet uitgevoerd.

Dat is nogal logisch.. in een echo kan je geen (`nieuwe`) PHP uitvoeren, dus creeër een switch oid die checkt of jij PHP erin wilt gebruiken en doe dan gewoon

PHP Code:

echo $check['url'] . $_SESSION['user_id']; 


Of iets in die vorm ;]

Nou je probleem ligt dan op het moment van invoeren.. jij probeert een PHP variabel in de database te plaatsen terwijl dit niet gaat. Als jij invult: http://www.test.nl/<?=$_SESSION['id'];?> en je zet dit in de database dan zal dit inderdaad letterlijk worden ingevuld en opgehaald.

Wat je kunt doen is bijvoorbeeld dit invullen:
http://www.test.nl/{userid}

En NA het submitten van het formulier de data even laten vervangen, bijv.

PHP Code:

if(isset($_POST['submit'])) {
  $_POST['url'] = str_replace("{userid}", $_SESSION['id'], $_POST['url']);
} 


Je kunt in elk geval geen PHP zomaar in de database zetten, dat werkt nu eenmaal niet. Overigens, als ik me niet vergis, zou je ook in plaats van echo $check['url'] ook de eval() functie kunnen gebruiken. Dan voer je wel weer de PHP uit, maar dat is eerder af dan aan te raden in jouw geval in verband met de veiligheid.

Joshua toch, zo kijk je niet of een formulier is verzonden ;-)

Code:

if($_SERVER['REQUEST_METHOD'] == 'POST')

Maakt dat nog een wezenlijk verschil mbt de veiligheid dan? Kan me even geen situatie inbeelden waarbij je de waardes van $_POST zou kunnen 'faken'.. buiten het feit dat in mijn voorbeeld $_POST['submit'] alle waardes mag hebben en het dan goed is natuurlijk.

Als je er if(isset($_POST['submit']) && $_POST['submit'] == "add") van maakt heb je toch een betere beveiliging dan alleen kijken naar de request method? Kan me natuurlijk vergissen, uit gewoonte gebruik ik het stukje aan het begin van deze zin meestal, altijd ruimte voor verbetering :D

Zou alleen betekenen dat je ten alle tijden een submit button de naam submit moet meegeven, terwijl je die lang niet altijd nodig hebt. Qua beveiliging kijk je niet of de submit button als naam add heeft meegekregen, maar gebruik je bijvoorbeeld een unieke key in de FORM en in de sessie om te zien of een POST-request geldig is.

Je moet eerst kijken of het een POST-request is, voordat je een POST-waarde ophaalt ;-) Ging meer om netheid dan om veiligheid ;-)

Duidelijk, in die zin begrijp ik het wel, ging er alleen even uit dat jij het vanuit een veiligheid oogpunt bekeek, voordat ik al mijn websites moet gaan nalopen met spoed, haha.

Is het niet nog beter om het op deze manier te doen:

PHP Code:

<?php if($_SERVER['REQUEST_METHOD'] === 'POST') { // code } ?>

Zo doe ik het tenminste altijd. Even on topic: Je kunt inderdaad geen php code uit de database halen. Zorg ervoor dat de goede waardes van te voren al in de database gezet worden.

Kijk eens 4 reacties boven je Stefan ;-)