Opgelost!

----------------------------------------------------------------

Het is wellicht super simpel maar ik zou graag mijn database willen filteren op basis van een variable.

Dit wil ik bewerkstelligen:
$sql = "SELECT * FROM sites WHERE branche= 'zakelijk' ";

met de volgende variable:
$test = "zakelijk"

Kan iemand mij hierbij helpen?

Waar wil je dit filter uitvoeren?
op je website? of in je PHPAdmin omgeving?

$test = "zakelijk"

$sql = "SELECT * FROM sites WHERE branche= '" . $test . "' ";

Even voor alle duidelijkheid: deze oplossing is niet correct! Ze laat heel gemakkelijk SQL-injecties toe! Gebruik prepared statements.

https://www.php.net/manual/en/mysqli...statements.php

Origineel gepost door Sam L

Even voor alle duidelijkheid: deze oplossing is niet correct! Ze laat heel gemakkelijk SQL-injecties toe! Gebruik prepared statements.

https://www.php.net/manual/en/mysqli...statements.php

Nou nou, heftige reactie.
De oplossing is weldegelijk correct er is alleen inderdaad geen rekening gehouden met sql injecties.

Dit is ook vanuit de voorbeeld van TS lastig te bepalen gezien er niet te zien is welk type verbinding gebruikt wordt ;)

Origineel gepost door rkas

Nou nou, heftige reactie.
De oplossing is wel degelijk correct er is alleen inderdaad geen rekening gehouden met sql injecties.

Dit is ook vanuit de voorbeeld van TS lastig te bepalen gezien er niet te zien is welk type verbinding gebruikt wordt ;)

Ja, omdat SQL-injecties een serieus ding zijn. Een heftige reactie krijg je voornamelijk zodra je melding moet doen van een datalek.

Type verbinding is overigens niet te zien (ik gok dat je database API bedoelt), maar aangezien het hier geen prepared statements betreft is dat het in ieder geval niet. Nooit verkeerd om andere ontwikkelaars te wijzen op mogelijke risico's IMHO.

Origineel gepost door Robin L

Ja, omdat SQL-injecties een serieus ding zijn. Een heftige reactie krijg je voornamelijk zodra je melding moet doen van een datalek.

Type verbinding is overigens niet te zien (ik gok dat je database API bedoelt), maar aangezien het hier geen prepared statements betreft is dat het in ieder geval niet. Nooit verkeerd om andere ontwikkelaars te wijzen op mogelijke risico's IMHO.

Eens, maar ik ben ook van mening dat als een TS vraagt om hoe hij een variabele in een string zet, dit als letterlijk antwoord gegeven wordt dit absoluut niet 'onjuist' is ook al zijn er andere belangrijke zaken die zeker noodzakelijk zijn! ;)

Origineel gepost door rkas

Eens, maar ik ben ook van mening dat als een TS vraagt om hoe hij een variabele in een string zet, dit als letterlijk antwoord gegeven wordt dit absoluut niet 'onjuist' is ook al zijn er andere belangrijke zaken die zeker noodzakelijk zijn! ;)

Goed, het wordt dan een discussie over semantiek en in dat geval is het antwoord niet 'onjuist'.

Een beetje alsof Pietje met een opgedroogde 0,2mm profiel band bij de Kwikfit komt om te vragen of hij deze er met sleutel 17 onder zijn auto kan zetten en de monteur zegt dat dat juist is.

$test = "zakelijk"

$sql = "SELECT * FROM sites WHERE branche= '" . $test . "' ";

Met enkel die code wordt injectie echt wel lastig :D En is prima bruikbaar zolang de test variabele niet door de gebruiker aangepast kan worden.


$test = $_POST["field"];
$sql = "SELECT * FROM sites WHERE branche= '" . $test . "' ";

Bovenstaand is dus wel gevaarlijk, en mag je dus niet gebruiken

Misschien niet heel helpvol, maar als je commentaar weet te geven hoe het niet moet..... Misschien is het beter om te vertellen hoe het dan wel moet