:strip_icc():strip_exif()/u/242517/crop5bc4adb702d2d_cropped.jpeg?f=community)
1
2
3
4
5
6
7
8
9
10
| function safe($string) { if(get_magic_quotes_gpc()) { return stripslashes($string); } else { return $string; } $string = mysql_real_escape_string($string); $string = htmlentities($string); } |
Ik heb sterk het idee dat de return wel wat vroeg komt in de code
Welles
:strip_icc():strip_exif()/u/22092/crop5fa8360e95568_cropped.jpeg?f=community)
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
:strip_icc():strip_exif()/u/6143/rincewind.jpg?f=community)
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
:strip_exif()/u/240696/Darth%2520Stewie.gif?f=community)
Er komt geen html data aan te pas, in principe allemaal tekst alleen (naam velden etc), maar het is wel een mooie functie
Welles
/u/313216/crop679f937b7f4c1_cropped.png?f=community)
Op https://www.dexia.be/info/nl/iws/home.html in de webbrowser Opera 11.01
. Ik word er echt zot van (en de website werkt perfect bij mij). Oké, online bankieren gaat niet in Opera, wat ik ook een zonde vind.
[ Voor 11% gewijzigd door Styxxy op 25-02-2011 14:23 . Reden: code tags -> quote tags ]
/u/201273/avatarsmal.png?f=community){kind=avatar}
1
2
3
4
5
6
7
| function antisql($sql) { $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|'|show tables|\\\\)/"),"",$sql); $sql = trim($sql); $sql = strip_tags($sql); $sql = addslashes($sql); return $sql; } |
Zo heb ik um
League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Edit: Ik ben overigens niet "professioneel" php-programmeur dus ik heb niet al te veel gemaakt maar ben wel van plan hier beter in te worden
Edit2: Ik doe ook alles fout he
[ Voor 41% gewijzigd door Jeffroiscool op 25-02-2011 16:52 ]
League of Legends [Last Updated 22-08-2012]: [EUW] Jeffro (Now:Silver, S1:Bronze), RankedSolo5x5: 1502 [120W/106L], Dominion: 84W, TT: 3W, Normal: 504W
:strip_exif()/u/88216/Goomba-animated.gif?f=community)
Nee, je moet je input sanitizen:
Hmm, simpelste oplossing is dus complete functie eruit slopen en gewoon in mijn databaselayer mysqli_real_escape_string() erin gooien
Dan hoef je je daar in de rest van je code geen zorgen meer om te maken. En daarna met prepared statements werken of inderdaad handmatig escapen.
[ Voor 29% gewijzigd door Radiant op 25-02-2011 17:02 ]
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
Wat hij voorstelde is precies wat hij moet doen. Of prepared statements gebruiken idd, maar dat maakt niet zoveel uit. Het gaat erom dat je de escaping pas bij versturen van je database goed maakt, en niet zodra je die binnenkrijgt. Het sanitizen van input is nogal input-afhankelijk. Om de post van een forum er maar weer bij te halen, daar valt weinig aan te sanitizen. Het topic-id waar die post in terecht moet komen dan weer wel.:
[...]
Nee, je moet je input sanitizen
[ Voor 20% gewijzigd door .oisyn op 25-02-2011 17:11 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
:strip_icc():strip_exif()/u/180657/texacoiq2.jpg?f=community)
Ik merk wel dat ik sinds het lezen van Clean Code veel beter ben geworden in het netter maken van code. Ondanks dat er een hoop obvious dingen in staan heb ik er ook veel van geleerd
Hadden de bouwers van deze code dat boek maar gelezen...
[ Voor 8% gewijzigd door Avalaxy op 25-02-2011 18:19 ]
Verwijderd
Maar dat gaat dan niet om hoe netjes de code is (wat trouwens ook om te huilen is), maar dat het niet werkt en nooit zou kunnen werken. 
Klein voorbeeldje:
Betaling via PayPal krijg je een callback van de PayPal-server, en dat werd dan zo afgehandeld:
1
2
3
4
5
6
7
8
| // http://example.com/paypal/123 function paypal($orderId) { if ($orderId != $_POST['blaat']) { exit; } $this->Order->id = $orderId; $this->Order->betaald(); } |
In eerste instantie dacht ik er alleen aan dat gebruikers er mee zouden kunnen kloten, maar toen ik betere keek, zag ik dat er geen check in zat voor de betaalstatus. En er stonden inderdaad al wat facturen op "Betaald" waarvan de betaling "Pending"/"Failed" was...
Welke android telefoon heb jij dan? Op mijn G1 (stock android 1.6) heb ik deze vraag nog nooit gezien
Het is natuurlijk zeer vreemd dat je je "user-agent" moet aanpassen om een beetje fatsoenlijk met een web-site te werken. Ook een slecht voorbeeld van sommige programmeer kunsten.
Alvast hartelijk bedankt voor al jullie hulp en reacties, Tim Bots
:strip_icc():strip_exif()/u/104956/epica_got.jpg?f=community)
Het werkt toch?:
Klein voorbeeldje:
Betaling via PayPal krijg je een callback van de PayPal-server, en dat werd dan zo afgehandeld:
PHP:
In eerste instantie dacht ik er alleen aan dat gebruikers er mee zouden kunnen kloten, maar toen ik betere keek, zag ik dat er geen check in zat voor de betaalstatus. En er stonden inderdaad al wat facturen op "Betaald" waarvan de betaling "Pending"/"Failed" was...
Verwijderd
Ja, inderdaad. En de mensen waarbij de betaling niet gelukt is, hebben we de producten cadeau gedaan!:
[...]
Het werkt toch?
:strip_icc():strip_exif()/u/190884/dug.jpg?f=community)
Wel knap dat die mensen hebben gevonden welke URL/post ze moeten gebruiken om jullie systeem te laten geloven dat de betaling gelukt is. Via een get/querystring is het makkelijk te zien en te faken, maar een post analyseren en simuleren kost toch wel iets meer moeite (is het nog niet moeilijk overigens).:
[...]
Ja, inderdaad. En de mensen waarbij de betaling niet gelukt is, hebben we de producten cadeau gedaan!
Misschien dat iemand iets "gelekt" heeft over het gat? Een post faken zou niet direct bij mij opkomen namelijk. Maar iemand die zo'n mooi gat weet te vinden "gun" je toch wel een gratis product
Een querystring in de URL aanpassen is altijd leuk om te doen, als er een orderId staat even eentje er vanaf trekken en kijken of je de order van een ander kan zien. Soms blijven die lekken ontzettend lang onopgemerkt, heb er zelf ooit een ontdekt bij de Nationale Tijdschriften Bon, kon gewoon in andere orders kijken. Dit maar even gemeld aan hun helpdesk (leek me wel netjes, sommige mensen melden het eerst aan GeenStijl ofzo), want niemand hoeft te weten dat ik de playboy Donald Duck heb besteld
The #1 programmer excuse for legitimately slacking off: "My code's compiling"
Firesphere: Sommige mensen verdienen gewoon een High Five. In the Face. With a chair.
/u/86654/crop68d4ff30987a8.png?f=community)
https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...
:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
The #1 programmer excuse for legitimately slacking off: "My code's compiling"
Firesphere: Sommige mensen verdienen gewoon een High Five. In the Face. With a chair.
/u/81353/got.png?f=community)
Zo werkt iDeal ook ja. Maar die url kan je alsnog uit je formulier halen omdat die wordt gePOST'd naar de iDeal server. Dus als je alsnog bij die success-url je betaling als betaald markeert ben je er nog niet.
De PayPal "simpele" oplossing (gewoon formulier met emailadres van ontvanger) heeft geen mogelijkheid tot feedback. In ons eCommerce systeem moeten eigenaren de transacties dus altijd handmatig op betaald zetten. Bij iDeal kan het wel, maar dan via de XML callback url die je in de interface kan aangeven (iDeal basic dan). Op die manier weet je wel zeker dat een betaling voltooid is
:strip_icc():strip_exif()/u/141741/crop5dd6aa7923c3f_cropped.jpeg?f=community)
Verwijderd
Jep, dat klopt. Inmiddels is het omgebouwd. Krijg nu een post met alle data, waaronder de betaalstatus. Dan doe ik nog een call naar PayPal-server om te controleren of de POST echt is. Nu klopt het dus wel.
Is ook zoals PayPay het zelf laat zien. 
:strip_icc():strip_exif()/u/206968/325134.jpg?f=community)
1
2
3
4
5
6
7
8
| uint16_t input0 = 0; /* Doe dingen met input0 */ if ((input0 & 0x0010) == 1) { /* Doe waar */ } else { /* Doe onwaar */ } |
En ik maar afvragen waarom hij nooit in de "Doe waar" clausule kwam
Ik bedoelde dus dit:
1
| if ((input0 & 0x0010) != 0) { |
Maar het bitje zat eerst op index 0, maar is nu verschoven naar index 4
[ Voor 21% gewijzigd door Matis op 01-03-2011 16:03 ]
If money talks then I'm a mime
If time is money then I'm out of time
De SQL is als volgt opgebouwd:
1
2
3
4
| exec Foo :Param1, :Param2, :Param3 |
Dat gebruik je vervolgens in code als volgt:
1
2
3
4
5
6
7
8
| with QueryComponent do begin ParamByName('Param1').AsString := 'Foo'; ParamByName('Param2').AsString := 'Bar'; ParamByName('Param3').AsString := 'Baz'; ExecSQL(); end; |
In mijn naïviteit had ik gehoopt dat ExecSQL de parameters hard zou koppelen, maar nee, hij pakt gewoon de volgorde uit de SQL-property. Dus stel je hebt de volgende SP:
1
2
3
4
5
6
7
8
9
10
11
12
| create procedure Foo @Param1 varchar(20), @Param2 varchar(20), @Param3 varchar(20) as begin print 'Param1: ' + ISNULL(@Param1, '<null>'); print 'Param2: ' + ISNULL(@Param2, '<null>'); print 'Param3: ' + ISNULL(@Param3, '<null>'); END |
Maar nee, de parameters die je aan het query-component toekent zijn enkel voor in code en ":Param" wordt in de uitgevoerde SQL vervangen door enkel de inhoud van die parameter, dus het wordt als volgt uitgevoerd:
1
| exec Foo 'Foo', 'Bar', 'Baz', |
En niet, zoals ik verwachtte:
1
| exec Foo @Param1 = 'Foo', @Param2 = 'Bar', @Param3 = 'Baz', |
Dus.
Dat gaat niet goed als je na Param2 nog een parameter toevoegt... 
https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...
:strip_icc():strip_exif()/u/59957/got-icon.jpg?f=community){kind=icon}
Edit; komt dat door de key-waarde van 0, waardoor hij op true triggerd?
[ Voor 17% gewijzigd door Matis op 04-03-2011 14:33 ]
If money talks then I'm a mime
If time is money then I'm out of time
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
/u/172597/crop5e1225c8b1011.png?f=community)
Dat is ook logisch
Want 0 is een int, dus convert ie $string ook naar een int, en (int) "foo" wordt 0. En laat - zelfs in php - 0 gelijk zijn aan 0.
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Ik vind er niets logisch aan dat een string 'zomaar' wordt gedowncast naar een int, maar dat ben ik. Deze discussie hebben we al eens eerder gehad, volgens mij zelfs in dit topic/ deze topicreeks.:
[...]
Dat is ook logisch
Want 0 is een int, dus convert ie $string ook naar een int, en (int) "foo" wordt 0. En laat - zelfs in php - 0 gelijk zijn aan 0.
Dit zijn gewoon de quirks van PHP.
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
Ik neem aan dat je sarcastisch bent..:
[...]
Dat is ook logisch
Want 0 is een int, dus convert ie $string ook naar een int, en (int) "foo" wordt 0. En laat - zelfs in php - 0 gelijk zijn aan 0.
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
:strip_exif()/u/261638/Happy2.gif?f=community)
De enige logica die ik zie is booleanse logica.
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
1
2
3
4
5
| <?php class A {} new A(new ThisIsANotExistingClass()); |
Wat doet dit?
Ik heb het trouwens alleen getest in PHP 5.3
:strip_icc():strip_exif()/u/67932/387397184.jpg?f=community)
Dat PHP daar niet op checkt wist ik niet. Maar variabele parameters gaat natuurlijk niet op als je meer parameters invoert dan dat er bestaan, alleen andersom (normaal gesproken dan).
Wel stom trouwens dat je in PHP zelf geen method overloading kan doen maar dat de PHP functions het zelf wel hebben
En wat bedoel je met die overloading?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| <?php class A { public function func() { echo 'A::Func'; } } class B extends A { public function func($b) { echo 'B::Func('.$b.')'; } } $a = new A(); $a->func(); echo "\n"; $b = new B(); $b->func(1); echo "\n"; |
Doet gewoon wat ik zou verwachten hoor? Of bedoel je wat anders?
:strip_icc():strip_exif()/u/89806/avatar_spockz.jpg?f=community){kind=avatar}
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
:strip_exif()/u/138622/kikker.gif?f=community)
Je kunt juist wel meer parameters opgeven dan er bestaan::
[...]
Dat PHP daar niet op checkt wist ik niet. Maar variabele parameters gaat natuurlijk niet op als je meer parameters invoert dan dat er bestaan, alleen andersom (normaal gesproken dan).
Wel stom trouwens dat je in PHP zelf geen method overloading kan doen maar dat de PHP functions het zelf wel hebben
1
2
3
4
5
6
7
| function foo() { $numargs = func_num_args(); echo "Number of arguments: $numargs\n"; } foo(1, 2, 3); |
Zie de functies func_num_args(), func_get_arg() en func_get_args().
/u/35984/crop67a0be11e3453_cropped.png?f=community)
Mwah. Je hoeft niet per sé het type op te geven, je kunt natuurlijk ook gewoon een method maken met 1 param, een method met 2 params, een met 3, etc.
Ja maar dat is ranzig
Jawel hoor; voor de "simpele oplossing" (Website Payments Standard) kan je gewoon notify_url meegeven om een POST met informatie over de transactie te ontvangen. Vervolgens verifiëren door het naar https://www.paypal.com/cgi-bin/webscr?cmd=_notify-validate te sturen.:
[...]
De PayPal "simpele" oplossing (gewoon formulier met emailadres van ontvanger) heeft geen mogelijkheid tot feedback. In ons eCommerce systeem moeten eigenaren de transacties dus altijd handmatig op betaald zetten. Bij iDeal kan het wel, maar dan via de XML callback url die je in de interface kan aangeven (iDeal basic dan). Op die manier weet je wel zeker dat een betaling voltooid is
Eenzelfde met Express Checkout overigens; met NOTIFYURL in je SetExpressCheckout call.
/laat
Heb zojuist even in de trunk zitten te zoeken maar ik kan het maar niet vinden.Edit:
Patch en motivatie gevonden, zie ook: http://wiki.php.net/rfc/typecheckingstrictandweak
[ Voor 26% gewijzigd door Manuel op 05-03-2011 16:51 ]
Door de post waarop ik reageerde ben ik ook gaan zoeken, en kwam achter deze feature inderdaad
Instant Payment Notification heet het en daar kan je kennelijk ook automatisch betalingen mee controleren. Best wel fijn, want zo hoeft dat niet meer handmatig!
Gefeliciteerd, nu heb je de dame van de kassa wegbezuinigd.:
[...]
Door de post waarop ik reageerde ben ik ook gaan zoeken, en kwam achter deze feature inderdaad
C'est le ton qui fait la musique. | Blog | @linkedin
R8 | 18-55 IS | 50mm 1.8 2 | 70-200 2.8 APO EX HSM | 85 1.8
:strip_icc():strip_exif()/u/226826/aardblij-60.jpg?f=community)
Klopt. https://www.paypal.com/ipn:
[...]
Door de post waarop ik reageerde ben ik ook gaan zoeken, en kwam achter deze feature inderdaad
Ze hebben ook PDT - Payment Data Transfer, mocht je realtime betalingstatus aan de koper willen laten zien; https://www.paypal.com/pdt
Enfin, * r0b gaat weer verder lurken
[ Voor 5% gewijzigd door r0b op 05-03-2011 20:19 ]
Het is niet erg, ik vond het gewoon grappig
$salt is idd anders per account/wachtwoord.
Let op: Mijn post bevat meningen, aannames of onwaarheden
Collega heeft dus ook een rubber duck van een 30 cm hoog op z'n bureau
:strip_exif()/u/82116/buffy_av014.gif?f=community)
Of de complete tabel fetchen en vervolgens met PHP de output limitten tot ~max 100
Maar ik ben het nog veel erger tegengekomen, zal eens wat voorbeeldjes posten als ik er weer een tegenkom
Verwijderd
Hier valt in sommige scenario's best wel wat voor te zeggen. Helaas meestal niet:
Of de complete tabel fetchen en vervolgens met PHP de output limitten tot ~max 100
:strip_exif()/u/101588/the_lemmings_masacre_2_by_wormthingy.gif?f=community)
Ik ben benieuwd of je een voorbeeld kan geven. Want ik kan er zo snel geen verzinnen:
[...]
Hier valt in sommige scenario's best wel wat voor te zeggen. Helaas meestal niet
.
:strip_icc():strip_exif()/u/43473/crop5e12eeae6a054_cropped.jpeg?f=community)
Een bewerking op de data moeten uitvoeren die niet door de database gedaan kan worden, waarop vervolgens gesorteerd moet/kan worden? Niet ondenkbaar in ieder geval.:
Ik ben benieuwd of je een voorbeeld kan geven. Want ik kan er zo snel geen verzinnen
:strip_icc():strip_exif()/u/78891/W-Seawolf.jpg?f=community)
Simpelweg als je gegevens van een 3e nodig hebt om te bepalen of je het aan de gebruiker mag tonen.:
[...]
Ik ben benieuwd of je een voorbeeld kan geven. Want ik kan er zo snel geen verzinnen
Omgekeerd voorbeeld had ik tijdje terug met een externe zoekmachine, dat ding ondersteunde wel pagination maar geen uitgebreide security rights (die stonden in de db), kreeg je het leuk verschijnsel dat de pagination naar minimaal 500+userpref ging, waarna dat resultaat richting dbase ging waar de security rights erbij betrokken werden om de artikelen te tonen ( en dan was er in 1e instantie vaak nog een ajax call nodig omdat bijv de 1e 600 results weggeprofiled waren ).
/u/147751/avatar455992_1.gif.png?f=community){kind=avatar}
SELECT FieldDate FROM CalenderDates WHERE WeekNumber = 52 AND YEAR(FieldDate) = 2011 ORDER BY FieldDate LIMIT 1
SELECT FieldDate FROM CalenderDates WHERE WeekNumber = 52 AND YEAR(FieldDate) = 2011 ORDER BY FieldDate DESC LIMIT 1
Resultaat van de eerste query is 2011-01-01 en van de tweede query is 2011-12-31, dus die week beslaat 365 dagen.
Na een tijdje zoeken heb ik de oorzaak gevonden, en het blijkt dus dat de eerste dag van dit jaar in week 52 van vorig jaar viel. Morgen maar eens kijken of we een eenvoudige ( en snelle en definitieve) oplossing hiervoor hebben.
Speel ook Balls Connect en Repeat
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Ervaring.
Ik heb alle instellingen meermaals nagelopen. En het is niet de enige fout in Excel, als je het aantal dagen sinds 1 januari 1900 berekent voor een datum, kom je één dag te hoog uit (29-02-1900 wordt geaccepteerd als datum en meegenomen in de berekeningen
).
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
De datumfuncties van de win32 API zijn dan ook compleet ruk. Explorer maakte gebruik van de vage functie FileTimeToLocalFileTime(). Een FileTime is een timestamp vergelijkbaar met unix timestamps (alleen accurater en vanaf een andere startdatum). Een timestamp is een timestamp, het slaat nergens op om die te converteren naar een lokaal timestamp oid
.[ Voor 55% gewijzigd door .oisyn op 10-03-2011 00:56 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Anders trek je het even niet door in het belachelijke, ze maken beide gewoon een valide punt.
[ Voor 70% gewijzigd door Jaap-Jan op 10-03-2011 00:52 ]
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
Verwijderd
Ik doelde op de "Ligt aan Microsoft" statement van Freee!!. Natuurlijk zitten er foutjes in de software, ik heb nog nooit foutloze software gezien. Maar het is echt niet zo alsof alle producten van Microsoft fouten hebben in de datum libs.:
[...]
Anders trek je het even niet door in het belachelijke, ze maken beide gewoon een valide punt.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Verwijderd
/u/4024/burne.png?f=community)
Dit topic is gesloten.
Uiteraard is het in dit topic niet de bedoeling dat andere users en/of topics aangehaald worden om ze voor gek te zetten. Lachen om je eigen code, of over dingen die je "wel eens tegengekomen bent" is prima, maar hou het onderling netjes.