PHP·pub - Programming With Attitude - and beer

[MC2]

Litt av problemet til php-miljøet er jo nettop at folk skriver sine egne ting helt uten grunn.

Smarty er for komplisert for 99% av de som bruker det. Windows er også mer komplisert enn noen av brukerne faktisk behøver, det er de færreste som skriver sitt eget os av den grunn.

Av samme grunn bør man ikke skrive sitt eget templatespråk så fremt man ikke har ekstraordinære behov.

6242434[/snapback]

Folk utvikler ikke eget OS fordi mer enn 99% av folket som bruker Windows ikke klarer å skrive et eget, mens flere enn 99% av folket som har php scripts på serveren klarer å skrive eget.

 

Ellers er jeg ganske enig i det med at folk burde gjøre mer "research" før man setter seg i å skrive større ting som tmpl motorer ol.

[robgar]

Jeg holder for tiden på å utvikle et lite cms for et lan party jeg er med å arrangere. Er ikke noen store greier, men et lite artig prosjekt å bryne seg på

 

Sikkerheten er noe jeg ikke har tenkt så altfor mye på til nå. Kom på her idag at jeg har totalt åpnet for SQL - injection :S Hvilken funksjon er da best til å stripse variablene ?

[Gjest Slettet+6132]

Sikkerheten er noe jeg ikke har tenkt så altfor mye på til nå. Kom på her idag at jeg har totalt åpnet for SQL - injection :S Hvilken funksjon er da best til å stripse variablene ?

6243205[/snapback]

 

mysql_real_escape_string, addslashes. Pleier bruke den første jeg.

[robgar]

Ok, er det noen forskjell på disse to ?

Var det ikke en forskjell mellom mysql_escape_string og mysql_real_escape_string også ?

[Nervetattoo]

Folk utvikler ikke eget OS fordi mer enn 99% av folket som bruker Windows ikke klarer å skrive et eget, mens flere enn 99% av folket som har php scripts på serveren klarer å skrive eget.

6243057[/snapback]

Jeg er enig i at sammenligningen min var litt i drøyeste laget ja

[Ueland]

Men at 99% av alle som har satt opp et php script kan lage et selv er hvertfall langt fra faktum, ville nesten sagt at det var andre veien. (minus et par prosent)

[CruellaDeVille]

Ok, er det noen forskjell på disse to ?

Var det ikke en forskjell mellom mysql_escape_string og mysql_real_escape_string også ?

6243276[/snapback]

 

mysql_escape_string og ..real_escape_string gjør det samme, men siste tar hensyn til charset. Førstnevnte er visstnok utdatert og erstattet med sistnevnte

http://no.php.net/mysql_escape_string

[robgar]

Ok, takk for oppfriskinen

 

En annen ting jeg funderer litt på.

Hvis jeg har et input felt som skal ha numeriske data, og jeg sjekker dette med:

 

is_numeric($input)

 

Er det da nødvendig å bruke mysql_real_escape_string? Ettersom den sjekker at det er et tall og ikke en string.

[Ernie]

Ikke nødvendig å gjøre det da nei Tall er aldri farlig. Er de det så er det et hull i programvaren man bruker og da vil det være forbundet med tallrom (si den ikke tåler negative tall f.eks).

Endret 5. juni 2006 av Ernie

[Peter]

Sjekk ut eksempel 3: "best practice"

http://no.php.net/manual/en/function.mysql...cape-string.php

[Vindstille]

is_numeric($input)

Skjekker denne om det er et tall, eller bare ett heltall? Allstå ikke desimaltall.

[Ernie]

is_numeric sjekker om det er et tall (desimaltall, heltall osv.). Skal du sjekke om noe er et heltall bruker man is_int.

[Nervetattoo]

is_numeric sjekker om det er et tall (desimaltall, heltall osv.). Skal du sjekke om noe er et heltall bruker man is_int.

6252254[/snapback]

is_int() typesjekker så det kan bli med ymse resultat.

 

if (is_int((string)2)) {
echo '2 is int';
}

[Fjoggs]

for desimal tall bør du bruk http://no.php.net/manual/en/function.is-float.php

[trondes]

http://www.deformedweb.co.uk/php_variable_tests.php denne har vel vært fremme noen ganger tidligere.

[Nervetattoo]

http://www.deformedweb.co.uk/php_variable_tests.php denne har vel vært fremme noen ganger tidligere.

6266110[/snapback]

 

Den har jeg ikke sett nei, absolutt en fin oversikt.

[rødøye]

Den så da riktig nyttig ut ja. Takk

[Vindstille]

Kan man bruke is_int på strenger man får fra input felt?

Endret 8. juni 2006 av JonT

[Peter]

Tja, ikke godt å si egentlig.

if(is_numeric($_POST['mittfelt']))
 dump_var(is_int((int)$_POST['mittfelt']));

 

Tror kanskje jeg ville brukt:

if((int)$_POST[...] == $_POST[...])
 echo 'integer;

Endret 8. juni 2006 av Nazgul

[Ernie]

Kan man bruke is_int på strenger man får fra input felt?

6268885[/snapback]

Skal jeg tolke innlegget til Findus og trondes korrekt så betyr det at det ikke vil være så lurt aka. det vil alltid være false siden det er en streng. Det du kan gjøre er følgende:

$var = (int)$var

Da vil $var inneholde 0 hvis det ikke var et tall (eller faktisk var 0)

Endret 8. juni 2006 av Ernie