Waarom werkt het onderstaande stukje code niet:

PHP Code:

    if($url == mysql_result(mysql_query("SELECT url FROM url"), 0)){
        $url_id = mysql_result(mysql_query("SELECT id FROM url WHERE id = url"), );        
        echo'Die url is al een keer verkleind, je kan hem hier vinden:<br />';            
        echo'                
        <a href="' . $website_url . $url_id['id'] . '">' . $website_url . $url_id['id'] . '</a><br /><br />
        ';
    } 


Ik wil graag dat als iemand een url opgeeft die al bestaat er in de db word gekeken op welk id die url dan staat.

PHP Code:

<?
$sql_query = mysql_query("SELECT id,url FROM url WHERE url='".mysql_real_escape_string($url)."' LIMIT 1");

if(mysql_num_rows($sql_query) > 0){ 
    
        $url_id = mysql_fetch_assoc($sql_query);         
    
        echo'Die url is al een keer verkleind, je kan hem hier vinden:<br />';             
        echo'<a href="' . $website_url . $url_id['id'] . '">' . $website_url . $url_id['id'] . '</a><br /><br /> 
        '; 
    }  
?>

Beetje vage scripting moet ik zeggen?

Is toch gewoon een gevalletje van mysql_num_rows > 0 ?

Zo kan het denk ik ook, maar ik doe het zo.

Waarom is mysql_real_escape_string egenlijk, waarvoor is dat?


Hij geeft een error:

PHP Code:

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/virtual/start-plek.nl/htdocs/gamer_website/uwscript/pages/url_verkleinen.php on line 25 


Dat is tegen sql injecties (http://nl.wikipedia.org/wiki/SQL-injectie) . Altijd gebruiken wanneer je enige vorm van REQUEST uitvoert ($_POST , $_GET, $_REQUEST).

Maar wat bedoel je met "maar ik doe het zo" ? Hier kan je zien dat mysql_result() trager is dan de alternatieven (mysql_fetch_assoc, etc.).

Aanvullend bericht:

PHP Code:

$sql_query = mysql_query("SELECT id,url FROM url WHERE url='".mysql_real_escape_string($url)."' LIMIT 1") or die(mysql_error()); 


Om verwarring te voorkomen lijkt het mij ook beter om de tabel te hernoemen naar bijv. "urllist" of zoiets (aangezien je ook "url" als veldnaam gebruikt.

Oke, ik heb dan nog een vraag:
Waarom werkt de onderstaande code wel zonder mysql_real_escape_string en niet met:

PHP Code:

    mysql_query("INSERT INTO scripts (naam, type, tags, script, ip) VALUES ('" . mysql_real_escape_string($naam) . "', '" . mysql_real_escape_string($type) . "', '" . mysql_real_escape_string($tags) . "', '" . mysql_real_escape_string($script) . "', '" . mysql_real_escape_string($_SERVER['REMOTE_ADDR']) . "')"); 


Gebruik je toevallig een lagere versie van PHP dan 4.3.0 ? Dan moet je mysql_escape_string gebruiken, want voor de rest zie ik weinig oneffenheden in je query.

Zet er eens "or die(mysql_error())" achter en kijk welke foutmelding je krijgt.

Hij werkt weer, ik had perongelijk een unique key ingesteld.

Nieuw probleem, door dat gedoe met mysql_real_escape_string() slaat hij nu als ik iets verzend met een ' het zo op:
echo\'hoi\';

Dat wil ik dus niet, ik wil gewoon dat hij het zo opslaat:
echo'hoi';

Ook dat is nu weer opgelost.

Ja, maar dat is juist een beveiliging dat quotes worden opgeslagen met een backslash ervoor. Wanneer je de gegevens uit de database haalt kan je door middel van:

PHP Code:

<?
$var = stripslashes($f['url']);
?>

de backslashes verwijderen.

Edit: Zie nu pas dat het is opgelost :)

Origineel gepost door Arjen Rademaker

PHP Code:

$sql_query = mysql_query("SELECT id,url FROM url WHERE url='".mysql_real_escape_string($url)."' LIMIT 1") or die(mysql_error()); 


Waarom vraag je url op uit de database?!

Weet ik veel. Dat is wat de TS wil....

Ik weet niet hoe je het hebt opgelost, maar even ter informatie: Het stukje van Arjen klopt niet..
Je slaat de data namelijk nooit op met \ en de functie stripslashes heb je ook nooit nodig om je data weer op te schonen.. Is dat wel het geval dan is het fout...

Slashes in je data worden meestal veroorzaakt door php magic quotes.
Daar hoor je niet afhankelijk van te zijn (gaat ook weg uit php, en zou disabled moeten zijn).

De juiste manier is altijd:
Geen magic quotes (kan met .htacess/ini_set uitgezet worden)
De database funcites ( *_escape_string) gebuiken om de data 'ongevaarlijk' te maken voordat je het gebruikt in een query.

In dat geval worden er ook geen slashes in je data opgeslagen.

Origineel gepost door Arjen Rademaker

Weet ik veel. Dat is wat de TS wil....

@ TS dan: het is niet nodig url uit de database te halen. Je hebt die al als $url.

Hij wil waarschijnlijk controleren of een ingevoerde url al in de database voorkomt, waardoor een verkleinde versie van die url niet aangemaakt hoeft te worden.

Origineel gepost door Arjen Rademaker

Hij wil waarschijnlijk controleren of een ingevoerde url al in de database voorkomt, waardoor een verkleinde versie van die url niet aangemaakt hoeft te worden.

Dat snap ik, maar daarvoor hoef je url niet op te vragen. Als die query een record oplevert, is url sowieso $url (dat is namelijk de WHERE voorwaarde).