Schade

[Lisa]

ich meine die Weiterverarbeitung von POST Anfragen...


hier ein kleiner Ausschnitt:

Code: Alles auswählen

$anza=$_POST[$anz];
                     
if($anza!="0")
      {
       $sql2="SELECT * FROM hardware WHERE id LIKE '".$anz."'";


was fällt dir auf?


@smutje ich kann so vieles

wenn ich diese paar zeilen lese, bekomme ich schon zuviel.

Lisa du Betrüger(in)

@smutje
warum das ?
Sein Script ist doch Open Source


@kino
naja verbessere das erstmal




so und jetzt lasst uns nicht weiter abschweifen.

[ThaSpeedy]

Wie meistens in Sicherheitssachen muss ich BlackByte, äääähmm er/es/sie heisst ja jetzt Lisa, recht geben
warum nicht gleich so (auch wenns schon ein scheunentor ins (garten)haus darstellt)

Code: Alles auswählen

   
if($anza!=0)
      {
       $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



Die Variable ist sowieso im ram und dann nochmal in den ram schreiben ?? Performanz
Int zahlen(auch ganzzahlen gennant 0,1,2,3,4 usw) benötigen keine Konvertierung nach string oder char was wiederum Ram/CPU benötigt (das mach php aus dem zwischen den " " )

Und so leute wollen dann an einem Browsergame Proggen? Sorry lernt erstmal Basic's und dann lernt was Performanc heisst!
Felder ansprechen anstatt * in Querys z.b.

Grüssle
Speedy

[Lisa]

och speedy...

musst du mir meinen auftritt schlecht machen?



Naja das sind dann halt die möchtegern Programmierer, kann man nicht ändern...


Grüße,
ein Freund^^

[ThaSpeedy]

Wieso schlecht machen...
Ich lob dich sogar mein(e) Süße(r)

Ich wollte nurmal zeigen das es nachvollziebar ist das Atze euch ablehnt/ignoriert. Nicht mehr, nicht weniger

[Lisa]

Ok, falsch verstanden


Hab dich doch auch lieb


*hust*

[Str0ke]

bei dem code frag ich mich was wohl in $anz steht^^

@thaspeedy:

du hast da einen kleinen fehler drin
in die variable $anza schreibt er den POST, und ohne die variable macht das IF wenig sinn, außer man ersetzt die variable durch die POST abfrage.

aus:

Code: Alles auswählen

       
    if($anza!=0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



mach:

Code: Alles auswählen

       
    if($_POST[$anz] != 0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



PS: den programmierstil mag ich GAR NICHT!!!!
wenn man mehrere selects in einem code hat, muss man jedes mal genauer hin sehen wenn die select variablen "$sql1,$sql2,......." heißen.
deswegen pack ich immer kürzel mit in variablen namen, z.B. Userdaten: $user_sql = "SELECT ...."; $user_query ="mysql_......" usw....

[Lisa]

lol
was geht?


schau doch noch mal das Script an....

Speedy hat das nur klein verbessert.
Dort ist eine richtig große Sicherheitslücke vorhanden...
Naja wayne, nicht mein Problem^^

Ich würde das Script so niemals verwenden




PS: Klassen-Programmierung ftw

[ATZENPOWER]

ich find es schade das das voten scheinbar immer noch zur minderheit zählt... also votet

[ThaSpeedy]

bei dem code frag ich mich was wohl in $anz steht^^

@thaspeedy:

du hast da einen kleinen fehler drin
in die variable $anza schreibt er den POST, und ohne die variable macht das IF wenig sinn, außer man ersetzt die variable durch die POST abfrage.

aus:

Code: Alles auswählen

       
    if($anza!=0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



mach:

Code: Alles auswählen

       
    if($_POST[$anz] != 0)
          {
           $sql2="SELECT * FROM hardware WHERE id LIKE '".$_POST[$anz]."'";



PS: den programmierstil mag ich GAR NICHT!!!!
wenn man mehrere selects in einem code hat, muss man jedes mal genauer hin sehen wenn die select variablen "$sql1,$sql2,......." heißen.
deswegen pack ich immer kürzel mit in variablen namen, z.B. Userdaten: $user_sql = "SELECT ...."; $user_query ="mysql_......" usw....

Schieb ma nich so ne welle
Das mit dem $query1 usw ist ehhh voll outdated....
Was sollte da umständlich sein^^

Code: Alles auswählen


SpeedyClass::sqlBind(' Array(
"QUERY1';",
"QUERY2;",
"QUERY3;"
);


Sprichwort PrePair und dann exec

Code: Alles auswählen

$user = SpeedyClass::escapeQ($_POST[$user]);
SpeedyClass::sqlBind('SELECT username FROM users WHERE username=:user;',$user);
if(SpeedyClass::sqlExec() == false)
{
SpeedyClass::sqlRollback();
}
else
{
//weitermachen
}


[Lisa]

du verwirrst die nur speedy