Goedemiddag SD-leden!
Onderstaande query is de boosdoener vandaag.
Zoals je ziet in de query gaat het er om dat die gaat zoeken op patenten en is het een plicht dat de patenten de status 'actief' hebben. Maar op een of andere manier laat hij de patenten met status 'inactief' ook zien.PHP Code:SELECT
*
FROM
Patents
WHERE
titel LIKE '%".$_POST['username']."%'
AND
status = 'actief'
AND
omschrijving_kort LIKE '%".$_POST['username']."%'
OR
omschrijving_lang LIKE '%".$_POST['username']."%'
OR
probleemomschrijving LIKE '%".$_POST['username']."%'
OR
zoekwoorden LIKE '%".$_POST['username']."%'
OR
usp LIKE '%".$_POST['username']."%'
OR
alternatieven LIKE '%".$_POST['username']."%'
OR
opmerkingen LIKE '%".$_POST['username']."%'
Waar zit de fout in de query? Iemand die me kan helpen? Dat zou geweldig zijn!
-
22-03-2010, 11:37 #1
Diederik van Andel
- Berichten
- 400
- Lid sinds
- 15 Jaar
Query lukt niet goed
-
In de schijnwerper
wegens beëindiging bedrijf beschikbaar | InternetRadioLuisteren.nl DA10 - DR26Website te koopGastartikelen plaatsen op échte websites met bezoekers en goede domeinwaarden?!SEO/LinkbuildingOutreachxxl.com || Outreach/linkbuilding zelf doen? Internationaal. Laagste prijzenFreelance / WerkBacklinktools.nl - DA9 - Korte en sterke domeinnaamDomein te koop -
22-03-2010, 11:51 #2
Particulier
- Berichten
- 750
- Lid sinds
- 16 Jaar
Waarschijnlijk heeft het te maken met haken.
Code:SELECT * FROM Patents WHERE ( titel LIKE '%".$_POST['username']."%' AND status = 'actief' ) AND ( omschrijving_kort LIKE '%".$_POST['username']."%' OR omschrijving_lang LIKE '%".$_POST['username']."%' OR probleemomschrijving LIKE '%".$_POST['username']."%' OR zoekwoorden LIKE '%".$_POST['username']."%' OR usp LIKE '%".$_POST['username']."%' OR alternatieven LIKE '%".$_POST['username']."%' OR opmerkingen LIKE '%".$_POST['username']."%' )
-
22-03-2010, 11:55 #3
Reinschaap Punt NL
- Berichten
- 935
- Lid sinds
- 17 Jaar
exact door de haken (net als bij wiskunde) scheidt je de WHERE clause echt in 2en...
-
22-03-2010, 11:59 #4
Diederik van Andel
- Berichten
- 400
- Lid sinds
- 15 Jaar
Bedankt jongens, ik heb het nu werkend!
-
22-03-2010, 16:06 #5
Particulier
- Berichten
- 554
- Lid sinds
- 15 Jaar
Hier moet ik dus van huilen!
een POST of een GET rechtstreeks in je query plaatsen
Au, Au, Au!
Wat nu als een gebruiker hier nu eens niet braaf invult wat jij wilt.
Maar bijvoorbeeld een stuk mysql code invoert.
gebruik daarom ALTIJD ALTIJD ALTIJD
(had ik al gezegd dat je dit altijd moest doen)
mysql_real_escape_string
dus mysql_real_escape_string($_POST['test'])
ipv $_POST['test'];
-
22-03-2010, 16:13 #6
Diederik van Andel
- Berichten
- 400
- Lid sinds
- 15 Jaar
Haha, geweldig, nou ja, je reactie dan ;-).
Origineel gepost door Steven Verkuil
Maar ik heb het aangepast. Dank je voor de juiste tip!
-
22-03-2010, 16:43 #7
Particulier
- Berichten
- 554
- Lid sinds
- 15 Jaar
Jah sorry voor de lichte frustratie.
Maar dit is echt iets waar je mee uit moet kijken!
Ik ken mensen die hierdoor helaas grote delen van hun database zijn kwijtgeraakt.
Zelfs hele websites zijn overgenomen door dit soort onvoorzichtigheden.
(denk aan query's als: leegmaken en/of het uitlezen van hash/wachtwoord gegevens).
Kortom, volgens de 3 regels van php:
Never trust user input, Never trust user input, Never trust user input
moet je altijd een vorm van controle uitvoeren op welke vorm van userinput dan ook
(POST, GET, COOKIE, etc.)
-
22-03-2010, 17:12 #8
Particulier
- Berichten
- 1.053
- Lid sinds
- 17 Jaar
It's magic.
