beste is dit een veilige manier tegen hackers ?

PHP Code:

<?php 
// als er op submit werd gedrukt
if(isset($_POST['naam'])){ 

// variabelen
$voornaam     = htmlentities($_POST['voornaam']);
$naam     = htmlentities($_POST['naam']);
$email     = htmlentities($_POST['email']);


$query = "INSERT INTO `petitie` (`voornaam`,`naam`,`email`) 
VALUES 
('$voornaam','$naam','$email')";
mysql_query($query)or die(mysql_error());

echo "bedankt om de online petitie te tekenen mijn gedacht!. <a href='index.php'>Keer terug naar overzicht</a>";

?>

<?php }else{ ?>
<form action="#" method="post">


                        <input name="voornaam" type="text" class="inputformstyle" value="Voornaam" />

            <input name="naam" type="text" class="inputformstyle" value="Naam" />
            
                        <input name="email" type="text" class="inputformstyle" value="email" />

          
              <input type="submit" class="submit" value="Toevoegen" />
 
</form>

<?php } ?>

Nee, dit is niet veilig genoeg.
Gebruik ook nog de functie mysql_real_escape_string()

htmlentities() codeert namelijk de enkele quotes niet automatisch, evt op te lossen met de flag ENT_QUOTES, maar veiliger is om jezelf aan te raden alle waarden die je van bezoekers hebt gekregen (GET, POST, COOKIE) en die je in een database wilt opslaan door de escape functie te halen.

bedankt voor de tip dit is dan beter ?
$voornaam = mysql_real_escape_string(htmlentities($_POST['voornaam']));
$naam = mysql_real_escape_string(htmlentities($_POST['naam']));
$email = mysql_real_escape_string(htmlentities($_POST['email']));

Ik heb je php-code wat herschreven Fleur. Ik hoop dat ik het een beetje goed heb uitgelegd.

PHP Code:

<?php 
// als er op submit werd gedrukt

// Controleer of het formulier via een POST-methode is verzonden
// Met 'isset' controleer je alleen of iets bestaat. Je controleert nog niet of er ook een waarde in staat.
// Als de naam ingevuld moet zijn om verder te kunnen moet je '&& !empty($_POST['naam'])' toevoegen
if($_SERVER['REQUEST_METHOD'] == 'POST' && isset($_POST['naam'])){ 

// variabelen
// mysql_real_escape_string() zorgt voor veilige invoer in de database
// zie voor meer info: http://php.net/manual/en/function.mysql-real-escape-string.php
$voornaam     = mysql_real_escape_string($_POST['voornaam']);
$naam     = mysql_real_escape_string($_POST['naam']);
$email     = mysql_real_escape_string($_POST['email']);

// Gebruik geen backticks, de hoge komma's die Phpmyadmin toevoegt
// Voor een nette code zet je variabelen buiten de quotes
$query = "INSERT INTO petitie (voornaam,naam,email) 
VALUES 
('" .$voornaam ."','" .$naam ."','" .$email ."')";
mysql_query($query)or die(mysql_error());

echo "bedankt om de online petitie te tekenen mijn gedacht!. <a href='index.php'>Keer terug naar overzicht</a>";

?>

Bij je submit-knop ben je de name vergeten:
<input type="submit" class="submit" value="Toevoegen" name="knop" />

Origineel gepost door R. Kronshorst

Ik heb je php-code wat herschreven Fleur. Ik hoop dat ik het een beetje goed heb uitgelegd.

PHP Code:

<?php 
// als er op submit werd gedrukt

// Controleer of het formulier via een POST-methode is verzonden
// Met 'isset' controleer je alleen of iets bestaat. Je controleert nog niet of er ook een waarde in staat.
// Als de naam ingevuld moet zijn om verder te kunnen moet je '&& !empty($_POST['naam'])' toevoegen
if($_SERVER['REQUEST_METHOD'] == 'POST' && isset($_POST['naam'])){ 

// variabelen
// mysql_real_escape_string() zorgt voor veilige invoer in de database
// zie voor meer info: http://php.net/manual/en/function.mysql-real-escape-string.php
$voornaam     = mysql_real_escape_string($_POST['voornaam']);
$naam     = mysql_real_escape_string($_POST['naam']);
$email     = mysql_real_escape_string($_POST['email']);

// Gebruik geen backticks, de hoge komma's die Phpmyadmin toevoegt
// Voor een nette code zet je variabelen buiten de quotes
$query = "INSERT INTO petitie (voornaam,naam,email) 
VALUES 
('" .$voornaam ."','" .$naam ."','" .$email ."')";
mysql_query($query)or die(mysql_error());

echo "bedankt om de online petitie te tekenen mijn gedacht!. <a href='index.php'>Keer terug naar overzicht</a>";

?>

Bij je submit-knop ben je de name vergeten:
<input type="submit" class="submit" value="Toevoegen" name="knop" />

Met de toevoeging dat er htmlentities op de uitvoer moet worden toegepast (als je data uit je database haalt kan de gebruiker anders html weergeven en daarmee ben je gevoelig voor XSS aanvallen)

@R. Kronshorst : waarom geen backticks? Ik zie er geen nadeel in, eerder een voordeel: code leesbaarder en je ondervangt pre-reserved keywords ermee (zoals veldnaam `count`)

bedankt voor de hulp :)

Hoi,

Mocht je server het hebben kijk dan eens naar de PDO driver.
Die neemt veel werk al voor je uit handen neemt niet weg dat je het altijd nog moet blijven checken.
Vertrouw nooit user input.

Martijn

Inderdaad Lodewijk, als je de info op het scherm wilt tonen moet je htmlentities() gebruiken.

Jopie, backticks worden (alleen door MySql) gebruikt om te voorkomen dat je problemen krijgt met vooraf gedefinieerde woorden zoals 'group'. De uitkomst van je query wordt heel anders als je de backticks een keer vergeet.
Daarnaast is het geen sql, maar een toevoeging van MySql. Wanneer je je query of tabellen wilt gebruiken op bijv. PostgreSql krijg je fouten.
Zie ook deze uitleg: http://www.pfz.nl/wiki/backticks/

Nog een toevoeging van htmlentities dit moet je alleen maar gebruiken waar je data gaat tonen welke extern ingevoerd is wanneer je zelf deze data invult is het niet nodig wanneer je bijvoorbeeld een cms maakt met een html editor

backticks van mysql nooit maar dan ook nooit gebruiken!! is niet valid SQL code.
Wanneer je inderdaad van database gaat veranderd dan kun je alles lopen veranderen.

wanneer je goed wilt doen dan dien je de tabel kolom naam te prefixen.

Plus het scheelt je code (twee backticks per element) en je kunt ze ook niet per ongeluk een keer vergeten.