Velkommen til PHP Tips.dk



Hvad er PHP Tips.dk?


PHP Tips.dk er lavet af danskere, til danskere fordi dansk nu engang er det sprog vi forstår bedst. Det er en side skrevet på dansk med mulighed for at kunne kommentere på de enkelte tips, stille spørgsmål ind til det enkelte tip, og mulighed for at give karakterer til det enkelte tip.

PHP Tips.dk er altså kort sagt en nicheside for PHP interesserede


Målet - er at få en masse programmører til at skrive tips som andre programmører kan bruge i deres egen udvikling, tips der er gennemprøvet - tips der måske er special udviklet til danskere og til danske internet sider.

Blandt andet har vi i Danmark eksempelvis special tegn som Æ, Ø og Å - samt en lidt anderledes måde at skrive tid på. Samtidig skriver vi tal formatet som DKK 1.234,56 - dette er nogle ud af mange udfordringer ved at programmere PHP i Danmark til danske hjemmesider så det har større "usability" for danskere.

Det centrale budskab


Det centrale budskab i PHP Tips.dk er - at vi programmører hjælper hinanden, vidensdeler, viser forskellige måder at programmere på, forskellige funktioner og classes.

Her er den side hvor danske php programmoerer kan udveksle PHP tips! Og skulle du være nordmand eller svensker kan vi skam også gøre et forsøg for at hjælpe dig :-)

PHP Vidensdeling


Det er almindelige erfaring at man i PHP programmer for alverdens forskellige formål må løse de samme grundlaeggende problemer igen og igen.

Det vil vel være effektivt at kunne genbruge de løsninger andre allerede har udviklet og testet.

Det er gratis at bruge PHP Tips.dk


PHP Tips.dk vil med tide give et stort antal tips som du frit, gratis, og uden begrænsninger kan bruge , inklusiv for kommercielle formål.

Naturligvis kan sådan en side kun fungere med en frisk strøm af nye php tips. Så til gengæld for de tips du bruger opfordres du til at bidrage med de løsninger du selv har udviklet.

For at bidrage eller kommentere til andres bidrag må vi af data-integritet og legale årsager bede dig oprette dig som bruger.

Kunne du tænke dig at hjælpe med at skrive PHP tips?


Opret dig gratis som bruger, og skriv din første artikel indenfor minutter.

Dine informationer vil blive vist på alle dine artikler (Dit navn linket med hjemmesidens URL).

På forhånd tak.
Tom Frank Christensen - udvikler af PHP Tips.dk



Seneste tip:

PHP mysql_real_escape_string



PHP´s mysql_real_escape_string funktion er egentlig ganske simpel at bruge, men desværre er der stadig folk der ikke prøver at beskytte deres MySQL databaser mod SQL injection - eller på gammelt dansk SQL indsprøjtning.

Hvorfor folk så ikke bruger mysql_real_escape_string, kan man undre sig over - for funktionen har været i PHP siden version 4.3.0 - og eftersom vi nu skriver ~5.3.6 kan det godt undre mig at mange programmører stadig ikke bruger denne.

Eksempel på SQL injection

<?php
$username = $_POST['username'];
$password = $_POST['password'];

$sqls = "select * from user where user = '$username' and '$password'";
$users = mysql_query($sqls);
?>

Hvis de værdier der bliver POST'et ind mod siden - er $_POST['username'] = 'tomchristensen'; $_POST['password'] = "' OR ''='"; Vil enhver kunne logge på som tomchristensen - og med et en URLencoded version af ' OR ''=' (også skrevet sådan: %27+OR+%27%27%3d%27 )

Eksempel på hvordan du undgår SQL injection

<?php
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$sqls = "select * from user where user = '$username' and '$password'";
$users = mysql_query($sqls);
?>

eller

<?php
$username = $_POST['username'];
$password = $_POST['password'];

$sqls = "select * from user where
            user = '".mysql_real_escape_string($username)."'
            and '".mysql_real_escape_string($password)."'";

$users = mysql_query($sqls);
?>

Derudover kan du lave andre forholdsregler...


Eksempelvis kan du - for at være sikker på at du KUN får tal ind i en $_GET['side'] variable der bruges til sideskift - (Vis side 1 af 200) hvor URL måske er www.phptips.dk/visside.php?side=1 bruge en anden funktion is_numeric. Det vil sige at du FORVENTER at $_GET['side'] er et tal, og hvis det ikke er de - kan du sådan set godt die; scriptet.

Eksempel

<?php
if (isset($_GET['side'])) {
   if (!is_numeric($_GET['side'])) { 
    echo "Indtrængning!!!"; die; 
   } else {
    $side = $_GET['side'];
   }
}

?>

Kommentarer:
Du skal være logget ind for at bruge denne funktion.
Brugernavn
Kodeord


Det er gratis at oprette en bruger
Hop til toppen