tijd registratie html / PHP

Waar loop je op vast? Je kunt dit zo simpel of ingewikkeld maken als je wilt, maar in de basis is het niet meer dan het maken van een database met die velden, een formulier dat deze waardes posten en de gegevens later weer ophalen.

Dit is toch echt wel heel erg basis kennis. Ik weet niet waarom je dit zelf wil maken, maar gezien je beperkte kennis zou ik willen voorstellen opzoek te gaan naar een bestaande oplossing.

*nee*

[ Voor 79% gewijzigd door MueR op 02-08-2011 11:04 ]

Zie deze tutorial http://www.sitemasters.be/tutorials/2/1/78/MySQL/Formulier

Maar pas op: ik weet niet of de bewuste schrijvert voldoende rekening houdt met beveiligingsissues als SQL injection, XSS etc. Om e.e.a. te leren lijkt het me het echter ok.

[ Voor 1% gewijzigd door Rekcor op 02-08-2011 16:50 . Reden: crappy tutorial ]

Pak een willekeurige PHP/MySQL tutorial en ga gewoon beginnen? Programmeren is meer dan alleen wat code copy-pasten en hopen dat het dan werkt

Gelijk ook even een tikje door naar Programming. PHP e.d. hoort daar thuis zoals je in Waar hoort mijn topic? prima had kunnen lezen.

[ Voor 38% gewijzigd door Creepy op 02-08-2011 11:04 ]

Rekcor schreef op dinsdag 02 augustus 2011 @ 10:49:
Zie deze tutorial http://www.sitemasters.be/tutorials/2/1/78/MySQL/Formulier

Maar pas op: ik weet niet of de bewuste schrijvert voldoende rekening houdt met beveiligingsissues als SQL injection, XSS etc. Om e.e.a. te leren lijkt het me het echter ok.

Het is geen rampzalig slechte tutorial maar hij staat bol van bad practices. Posten naar PHP_SELF is als ik het me goed herinner een potentieel beveiligingslek^*, die spaties in het action-attribuut van het form hebben geen zin en zullen een oudere browser mogelijk laten stuiteren, en dat gegoochel met addslashes en stripslashes dat hij doet is behoorlijk onhandig en zelfs overbodig, mysql_real_escape_string kan dat veel beter. Vrij slechte tutorial voor een beginner dus.

* $_SERVER['PHP_SELF'] is door een user met slechte bedoelingen aan te passen en daarmee maak je dus je site kwetsbaar voor cross site scripting en url spoofing. Je kan beter naar iets posten dat je wel zelf in de hand hebt, bijvoorbeeld naar "?".

[ Voor 14% gewijzigd door NMe op 02-08-2011 13:32 ]

NMe schreef op dinsdag 02 augustus 2011 @ 12:11:
[...]

Het is geen rampzalig slechte tutorial maar hij staat bol van bad practices. Posten naar PHP_SELF is als ik het me goed herinner een potentieel beveiligingslek, die spaties in het action-attribuut van het form hebben geen zin en zullen een oudere browser mogelijk laten stuiteren, en dat gegoochel met addslashes en stripslashes dat hij doet is behoorlijk onhandig en zelfs overbodig, mysql_real_escape_string kan dat veel beter. Vrij slechte tutorial voor een beginner dus.

Ok. Ik moet bekennen dat ik er héél diagonaal doorheen gescrollt heb .

@TS: ik googlede op 'php mysql form tutorial', misschien vind je een zelf betere!

Wil je dit schrijven als eerste programmeeroefening of is het echt productiecode?

In het tweede geval zou ik me afvragen of een kant en klare dienst niet beter en goedkoper is, bijv. Harvest

NMe schreef op dinsdag 02 augustus 2011 @ 12:11:
[...]* $_SERVER['PHP_SELF'] is door een user met slechte bedoelingen aan te passen en daarmee maak je dus je site kwetsbaar voor cross site scripting en url spoofing. Je kan beter naar iets posten dat je wel zelf in de hand hebt, bijvoorbeeld naar "?".

En door het naar "?" te zetten vang je bijv een firebug edit af door... ?

Maar idd, niet zo'n beste tutorial

1. Invalid HTML
2. Database info in de broncode, en op meerdere plaatsen
3. Geen gebruik van mysql_real_escape_string() or prepared statements
4. Foutafhandeling met een brij aan if statements
5. Terug link met javascript
6. Output table zonder headers, tbody, thead
7. Dubbele query om te checken of er berichten zijn

phex schreef op dinsdag 02 augustus 2011 @ 14:08:
[...]
En door het naar "?" te zetten vang je bijv een firebug edit af door... ?

Feanathiel schreef op dinsdag 02 augustus 2011 @ 14:21:
[...]

offtopic:
Clientside veranderd er uiteraard niets. De gebruiker kun je niet vertrouwen op invoer, daarom is afhandeling op de server van belang:

$_SERVER['PHP_SELF'] wordt standaard niet omgezet naar een url encodering. Dit zorgt ervoor dat een gebruiker XSS kan toepassen als je even niet oplet. Door "?" te gebruiken hardcodeer je in feite de url, waardoor zo'n dergelijke aanval niet meer gebruikt kan worden.

Bijv: http://www.mc2design.com/blog/php_self-safe-alternatives (1e hit op google)

phex schreef op dinsdag 02 augustus 2011 @ 14:08:
[...]


En door het naar "?" te zetten vang je bijv een firebug edit af door... ?

Maar idd, niet zo'n beste tutorial

1. Invalid HTML
2. Database info in de broncode, en op meerdere plaatsen
3. Geen gebruik van mysql_real_escape_string() or prepared statements
4. Foutafhandeling met een brij aan if statements
5. Terug link met javascript
6. Output table zonder headers, tbody, thead
7. Dubbele query om te checken of er berichten zijn

Afgezien van puntjes 1, 3 en 7 zijn dat punten die ik ook niet per se in zo'n tutorial zou behandelen omdat het dan veel te veel tekst wordt voor een simpel lesje.

phex schreef op dinsdag 02 augustus 2011 @ 14:08:
Maar idd, niet zo'n beste tutorial

1. Output table zonder headers, tbody, thead

[sarcasm] Laten we dan, als we toch bezig zijn, ook semantische HTML behandelen, wat Javascript, CSS 2 & 3, Object Geörienteerd Programmeren en last but not least 'design patterns'. Hoe meer design patterns je hebt des ter beter je script is![/sarcasm]

Maar om even op punt 6 terug te komen. De tbody, thead en tfoot-tags zijn voor zover ik weet optioneel voor het weergeven van een tabel.

Het lijkt mij trouwens duidelijk dat de aangedragen tutorial op Sitemasters gewoon een slecht voorbeeld is en dat er betere alternatieven zijn, zoals een goed boek.

Ik zeg niet dat je alles hoeft uit te leggen, maar gebruik tenminste valide html als je iets voordoet.

[ Voor 46% gewijzigd door phex op 02-08-2011 16:43 ]

Zonder een tbody, thead en tfoot tag is het alsnog 'valide HTML'.

Het ging mij om de form en de veelvoud van <br> tags.

De comments van de tbody(etc) klopt, maar gebruik van th's is wel aan te raden voor accessibility.

Je kan een tutorialmaker moeilijk beknoptheid verwijten voor wat betreft zaken die niets te maken hebben met hetgeen hij je probeert uit te leggen, want anders had hij net zo goed een boek kunnen schrijven. Dat form en die line breaks zijn trouwens gewoon valid HTML voor zover ik kan zien, dus dat verwijt is ook niet helemaal niet eerlijk. Dat het beter te stylen is en beter semantisch in te delen maakt de HTML niet invalide.

Laten we verder trouwens weer ontopic gaan, en even afwachten wat de topicstarter te zeggen heeft. We gaan wel erg ver offtopic nu.

die tut is 6 jaar oud, om dat nu te gaan afschieten, heeft niet echt nut meer hé

De TS kan beter gewoon een kant-en-klaar tijdregistratie systeem downloaden...

Wij gebruiken ClockWise met ons bedrijf.

Alternatieven:
http://www.timetell.nl/
http://www.timewriter.nl/

Je moet je altijd ten zeerste afvragen of je dit wel echt wilt, er gaat altijd meer tijd in zitten dan je gepland had als je het zelf wil doen, zeker als het je eerste PHP-project is. En dan hebben we het nog niet over het feit of het dan vlekkeloos zal werken. Stel je voor dat je medewerkers 25 uur op een dag schrijven. Dat lijkt triviaal, maar ook de triviale dingen moet je afvangen, niet alleen de gapende veiligheidslekken.

Ook moet je je formulier zo waterdicht mogelijk maken om wildgroei te voorkomen. De ene keer zal een gebruiker als locatie misschien "thuis" invullen, de volgende keer "mijn huis" en daarna "kantoor" en "ons kantoor". Lekker handig als je dan wilt gaan filteren.

En waarom zijn de medewerkers een drop-down? Kan iedere medewerker iedere andere medewerker selecteren? Niet echt handig volgens mij... Dus je zult wel een login nodig hebben en dat is weer iets extra's, waar je misschien nog niet aan had gedacht...

of het opensource php alternatief : http://www.achievo.org/ Erg flexibel in de basis, en erg makkelijk zelf uit te breiden met basis php kennis of logisch nadenken/knip-plak progammeren.