PHP SQL query

Door te zorgen dat het ID van het te verwijderen item in de query komt te staan. Misschien is het een idee om bij hoofdstuk 1 te beginnen in plaats van alles over te slaan en te denken dat je onmiddelijk iets functioneels kunt programmeren.

Als je een formuliertje verstuurd waar je vinkjes kan zetten bij de comments die je wilt verwijderen dan kan je zo de ID's van de comments doorsturen. Die kan je daarna eenvoudig uit de $_POST superglobal halen en na controle gebruiken in je query.

Maar hij geeft wel een antwoord, de id van je bericht moet daar komen...

Verwijderd schreef op zaterdag 07 februari 2009 @ 19:38:

Als ik de variable $id gebruik verwijderd ie alles.

Er is niets wat je voor $id in zou kunnen vullen dat alles verwijdert, tenzij je geen getal invult maar een stuk SQL injecteert.

Verwijderd schreef op zaterdag 07 februari 2009 @ 19:47:
[...]

Er is niets wat je voor $id in zou kunnen vullen dat alles verwijdert, tenzij je geen getal invult maar een stuk SQL injecteert.

behalve als je overal dezelfde id gebruikt....

Ah ik denk dat dat idd je probleem is.

Maak een hidden formfield aan met daarin de waarde van $id2, en vervolgens (na wat checks) $_POST['bericht_id'] voor het id invullen.

En waar voer je de DELETE-query uit?Heeft een bericht uberhaupt wel een ID?

En uit wat voor vogel komt een gallerei?

[ Voor 21% gewijzigd door HendrikN op 07-02-2009 19:56 ]

RedFox schreef op zaterdag 07 februari 2009 @ 19:49:

behalve als je overal dezelfde id gebruikt....

Dat is helemaal waar. Ik doe wellicht onterechte aannames over de kennis en inzicht van de topicstarter

Behalve mijn laatste bericht ben ik meer voor een knopje verwijderen, <a href="blaat.php?id={$id2}&action=delete">Verwijder</a> ofzo.

Salomon schreef op zaterdag 07 februari 2009 @ 20:04:
Behalve mijn laatste bericht ben ik meer voor een knopje verwijderen, <a href="blaat.php?id={$id2}&action=delete">Verwijder</a> ofzo.

Het lijkt mij zeer onverstandig om zoiets met een GET request te doen.

Verwijderd schreef op zaterdag 07 februari 2009 @ 20:06:
[...]

Het lijkt mij zeer onverstandig om zoiets met een GET request te doen.

Hoe zou je het anders doen? POST? Das weinig tot niks veiliger, zolang je voor het verwijderen maar checked of er iemand is ingelogd die de functie mag uitvoeren zie ik niet wat hier het probleem van is.

Ik snap ook niet waarom je dat onveilig vindt, je moet alles wel gewoon checken maar post is maar een halve procent lastiger om na te maken...

MidnightMotion schreef op zaterdag 07 februari 2009 @ 20:20:
[...]


Hoe zou je het anders doen? POST? Das weinig tot niks veiliger, zolang je voor het verwijderen maar checked of er iemand is ingelogd die de functie mag uitvoeren zie ik niet wat hier het probleem van is.

POST acties worden niet door een prefetcher uitgevoerd, formulieren worden niet ingestuurd door zoekmachines en URL's komen in je history en mogelijk ook favorieten waardoor acties ongewenst nogmaals uitgevoerd kunnen worden.

Verwijderd schreef op zaterdag 07 februari 2009 @ 20:06:
[...]

Het lijkt mij zeer onverstandig om zoiets met een GET request te doen.

Het kan wel via een GET, mits je een "weet u dat zeker" gebruikt of een unieke en niet te raden token. (En bij voorkeur niet echt verwijderen maar een "deleted" flag activeren zodat je het altijd ongedaan kunt maken).

Salomon schreef op zaterdag 07 februari 2009 @ 20:24:
dan zet je daarna een
if($_GET['action'] == 'delete') {
// wat checks om te kijken of de permissies goed zijn
// dan je verwijder query
}

Dan zit je nog altijd met cross-site request forgeries. Een losse GET zonder gebruikers-confirmatie of item-afhankelijke tokens is erg gevaarlijk.

[ Voor 32% gewijzigd door sub0kelvin op 07-02-2009 20:36 ]

Salomon schreef op zaterdag 07 februari 2009 @ 20:25:

Je moet die url ook beveiligen met een if he... Zodat ongeautoriseerde gebruikers/bots het niet kunnen zien.
Verder vind ik het interessant hoe je een bericht twee keer wil verwijderen?

Je kunt zeggen wat je wilt, maar acties waarbij gegevens op de server worden gewijzigd moet je niet via GET requests doen, punt. Als je dat zélf wilt doen omdat je daar voor jezelf hele goede redenen voor kunt bedenken, gebruik het dan zélf, maar ga het niet aan anderen aanraden

Voor dit soort dingen zijn GET requests toch echt af te raden...
Er is een grote kans dat iemand je ongewild op die link laat klikken, zonder dat je het door hebt..
Zijn allemaal hele fancy termen voor, maar laten we het erop houden dat het wordt afgeraden.

Een post moet je zelf versturen.

//edit:

Verwijderd schreef op zaterdag 07 februari 2009 @ 20:29:
[...]

Je kunt zeggen wat je wilt, maar acties waarbij gegevens op de server worden gewijzigd moet je niet via GET requests doen, punt. Als je dat zélf wilt doen omdat je daar voor jezelf hele goede redenen voor kunt bedenken, gebruik het dan zélf, maar ga het niet aan anderen aanraden

couldn't agree more

[ Voor 42% gewijzigd door Cosca op 07-02-2009 20:32 . Reden: toevoeging ]

Verwijderd schreef op zaterdag 07 februari 2009 @ 19:52:
Dit is mijn hele code misschien helpt dat:

*snip*

Hier op GoT is het in eerst instantie de bedoeling dat je zelf opzoek gaat naar een oplossing. Je volledige code maar dumpen en hopen dat wij het voor je gaan fixen is niet de bedoeling.

Ondanks dat je zelf aangeeft dit al gedaan te hebben wil ik je toch vragen er een PHP-MySQL tutorial bij te pakken. Die kunnen je precies uitleggen hoe je vanuit PHP code zaken moet aanpassen/verwijderen in een DB. Dus ook hoe je een variabele in je query krijgt etc. Dit is echt een stukje basiskennis wat je jezelf zonder problemen aan zou moeten kunnen leren.

Lukt het dan alsnog niet dan kan je een nieuw topic openen. Maar geef dan minsten aan wat je zelf al hebt geprobreerd en wat daar niet mee lukte. Code erbij plaatsen is prima maar plaats alleen relevante code (zoals een klein stukje dat je probleem reproduceert) i.p.v. domweg maar alle code te plaatsen.

Verwijderd schreef op zaterdag 07 februari 2009 @ 20:22:
Ik ben hier nogal nieuw in, sorry dat ik domme vragen of iets stel.

Domme vragen bestaan niet zeggen ze Wat echter wél jammer is is dat het hier over iets behoorlijk basics gaat; iets wat elke goede tutorial je in een kwartier heeft bijgebracht. Een if-statement hier-en-daar, een delete query en een id doorgeven in een url is echt basic stuff en ik wil je dan ook vriendelijk verzoeken eerst even te trachten je die basics eigen te maken. Dat scheelt 'domme' vragen (hey, we zijn allemaal ooit bij 0 begonnen hoor ) maar vooral topics waarbij we iemand aan het handje naar de oplossing moeten leiden.

[edit]
Fijn; en dan schiet die engerd vlug even voor Maar wel: what he said

[ Voor 9% gewijzigd door RobIII op 07-02-2009 20:48 ]