Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Loginfejl i php-script

14 views
Skip to first unread message

Kurt Hansen

unread,
Dec 4, 2012, 7:53:15 AM12/4/12
to
Jeg forsøger at forbinde til en mySQL-database med følgende:

<?php
$server = "linux29.unoeuro.com";
$brugernavn = "mit_brugernavn";
$kode = "min_adgangskode";
$db = "database_dk_db";

mysql_connect($server , $brugernavn , $kode) or die(mysql_error());

echo "Forbundet til mysql server<br/>";

mysql_select_db($db)or die(mysql_error());

echo "Forbundet til databasen<br/><br/>";

Det giver følgende fejl:

Warning: mysql_connect() [function.mysql-connect]: Lost connection to
MySQL server at 'reading initial communication packet', system error:
111 in /var/www/danacord.dk/public_html/shop/formular.php on line 7
Lost connection to MySQL server at 'reading initial communication
packet', system error: 111
--
Venlig hilsen
Kurt Hansen

scootergrisen

unread,
Dec 4, 2012, 12:36:59 PM12/4/12
to
Prøv og slå din firewall fra.

Kurt Hansen

unread,
Dec 4, 2012, 11:03:04 PM12/4/12
to
Den 04/12/12 18.36, scootergrisen skrev:
> Prøv og slå din firewall fra.

Hvilken firewall? Jeg aner ikke hvor en firewall sidder på min Mac og
Unoeuro's kan jeg jo ikke ændre på.

Mener du at MIN firewall forhindrer at der bliver sendt UD, eller at
Unoeuro's forhindrer at der bliver sendt noget IND?

Uden at have den mindste indsigt i slige sager, hvil min grundholdning
altid være, at hvis man er nødt til at slå en firewall fra, for at få
noget til at virke, er der noget galt med den kode man har skrevet.

scootergrisen

unread,
Dec 5, 2012, 1:58:42 AM12/5/12
to
Det var noget jeg læste da jeg søgte efter den fejlbesked at det kunne
være firewall.

Hvis du udføre PHP koden lokalt på din egen computer og hente dataen på
unoeuros sql server så prøv og upload PHP koden til unoeuro og kør den
der og se forskellen.

Og prøv og install en sql server lokal og kør det hele lokalt og se om
der skulle være forskel.

Kurt Hansen

unread,
Dec 5, 2012, 5:09:58 AM12/5/12
to
Den 05/12/12 07.58, scootergrisen skrev:
Fejlen vat at jeg havde skrevet servernavnet for FTP og ikke mySQL. Nu
kører der så, men ikke perfekt.

Jeg har to inputfelter i en formular: Et varenummer og en pris. Meningen
med eksemplet er, at man skal kunne opdatere prisen uden at skulle logge
ind og gøre det i webshoppens kontrolpanel.

Det læser inputtet fra varenummerfeltet, slår varen op i databasen og
retter prisen.

Det virker med outputtet på skærmen efter scriptet er ikke som
forventet. Der skrives:

-
Forbundet til mysql server
Forbundet til databasen

Varenummer:
Pris:

Varenummer:
Pris:

Varenummer:
Pris:

Varenummer:
Pris:

o.s.v.
-

Den løber altså løbsk i stedet for at komme med den afsluttende kvittering.

P.S. Hvordan trækker jeg momsen fra den pris jeg indtaster?

Det må være her, men hvordan:

$pris = $_POST['pris'];

Koldekode til scriptet:

-
<?php
$server = "mysql8.unoeuro.com";
$brugernavn = "danacordbuti_dk";
$kode = "8800Butik";
$db = "danacordbutik_dk_db";

mysql_connect($server , $brugernavn , $kode) or die(mysql_error());

echo "Forbundet til mysql server<br/>";

mysql_select_db($db)or die(mysql_error());

echo "Forbundet til databasen<br/><br/>";

$data = mysql_query("SELECT * FROM products" ) or die(mysql_error());

while ($info = mysql_fetch_array($data))
{

echo "Varenummer: " . $info['varenummer'] . "<br/>";
echo "Pris: " . $info['pris']. "<br/><br/>";
}

// Update tabel

if (isset($_POST['update'])) {

$varenummer = $_POST['varenummer'];
$pris = $_POST['pris'];

$tabeldata = "UPDATE products SET v_products_price = '$pris'
WHERE products_model ='$varenummer'";
$resultat = mysql_query($tabeldata);
if($resultat) {
echo "Varen blev opdateret";
}
else {
echo "FEJL";
}
}
else {
echo "Ingen varer er blevet opdateret";

}
mysql_close();
?>

scootergrisen

unread,
Dec 5, 2012, 6:25:44 AM12/5/12
to
Der kom du lige til at skrive dine login oplysninger.
Nu må du hellere ændre dit password.

Jeg er ikke god til det database så ved ikke hvordan du gør. Har aldrig
fattet det selv.

Leif Neland

unread,
Dec 5, 2012, 6:58:55 AM12/5/12
to
Kurt Hansen skrev den 05-12-2012:
>
> Jeg har to inputfelter i en formular: Et varenummer og en pris. Meningen med
> eksemplet er, at man skal kunne opdatere prisen uden at skulle logge ind og
> gøre det i webshoppens kontrolpanel.
>
> Det læser inputtet fra varenummerfeltet, slår varen op i databasen og retter
> prisen.
>
> Det virker med outputtet på skærmen efter scriptet er ikke som forventet. Der
> skrives:
>
> -
> Forbundet til mysql server
> Forbundet til databasen
>
> Varenummer:
> Pris:
>
> Varenummer:
> Pris:
>
> Varenummer:
> Pris:
>
> Varenummer:
> Pris:
>
Skriver den ikke varenumre og pris?

> o.s.v.
> -
>
> Den løber altså løbsk i stedet for at komme med den afsluttende kvittering.

Du henter jo alle varer i din database.
>
> P.S. Hvordan trækker jeg momsen fra den pris jeg indtaster?
>
> Det må være her, men hvordan:
>
> $pris = $_POST['pris'];

$pris=floatval($_POST['pris'])/(1+MOMSPCT);

>
> Koldekode til scriptet:
>
> -
> <?php
> $server = "mysql8.unoeuro.com";
> $brugernavn = "danacordbuti_dk";
> $kode = "8800Butik";
> $db = "danacordbutik_dk_db";

Forhåbentlig er det ikke de rigtige data.
Ellers ved du forhåbentlig, hvordan man skifter password...

>
> $tabeldata = "UPDATE products SET v_products_price = '$pris' WHERE
> products_model ='$varenummer'";
> $resultat = mysql_query($tabeldata);

Og hvis nogen skriver varenummeret "' or 1=1" får du opdateret hele
varelageret på een gang...

Læs op på prepared statements og mysqli eller PDO.

Leif

--
Husk kørelys bagpå, hvis din bilfabrikant har taget den idiotiske
beslutning at undlade det.


Kurt Hansen

unread,
Dec 5, 2012, 8:01:50 AM12/5/12
to
Den 05/12/12 12.58, Leif Neland skrev:

> Forhåbentlig er det ikke de rigtige data.
> Ellers ved du forhåbentlig, hvordan man skifter password...

Det var en tanketorsk. Nej, jeg ved ikke hvordan man skifter.

Kurt Hansen

unread,
Dec 5, 2012, 8:09:38 AM12/5/12
to
Den 05/12/12 12.58, Leif Neland skrev:
> Kurt Hansen skrev den 05-12-2012:
>>
>> Jeg har to inputfelter i en formular: Et varenummer og en pris.
>> Meningen med eksemplet er, at man skal kunne opdatere prisen uden at
>> skulle logge ind og gøre det i webshoppens kontrolpanel.
>>
>> Det læser inputtet fra varenummerfeltet, slår varen op i databasen og
>> retter prisen.
>>
>> Det virker med outputtet på skærmen efter scriptet er ikke som
>> forventet. Der skrives:
>>
>> -
>> Forbundet til mysql server
>> Forbundet til databasen
>>
>> Varenummer:
>> Pris:
>>
>> Varenummer:
>> Pris:
>>
>> Varenummer:
>> Pris:
>>
>> Varenummer:
>> Pris:

> Skriver den ikke varenumre og pris?

Knappen i rullesdkagten er meget lille, da der er 30.000 varer. Jeg har
ikke kigget hele vejen ned, man kan da ikke udelukke, at der, langt nede
i outputtet, gengives det forventede oplysninger.

>> o.s.v.
>> -
>>
>> Den løber altså løbsk i stedet for at komme med den afsluttende
>> kvittering.

> Du henter jo alle varer i din database.

Aha, javel så. Kan du indkredse det en aaanelse?

>> $tabeldata = "UPDATE products SET v_products_price = '$pris'
>> WHERE products_model ='$varenummer'";
>> $resultat = mysql_query($tabeldata);

> Og hvis nogen skriver varenummeret "' or 1=1" får du opdateret hele
> varelageret på een gang...

Rent volapyk for mig.

> Læs op på prepared statements og mysqli eller PDO.

Tak for henvisningen, men jeg vælger at afstå fra at kaste mig ud i et
større studie. Scriptet så så simpelt ud, at jeg tænkte det måtte være
en smal sag at tilrette til eget brug.

Måske ikke overraskende, dukker der problemer op og så vælger jeg at stå
af. jeg har ganske enkelt ikke tid til at fordybe mig i (åbenbart)
fornøden grad.

Leif Neland

unread,
Dec 5, 2012, 9:56:55 AM12/5/12
to
Kurt Hansen har bragt dette til verden:
>>> o.s.v.
>>> -
>>>
>>> Den løber altså løbsk i stedet for at komme med den afsluttende
>>> kvittering.
>
>> Du henter jo alle varer i din database.
>
> Aha, javel så. Kan du indkredse det en aaanelse?

> $data = mysql_query("SELECT * FROM products" ) or die(mysql_error());
>
Herover vælger du alle produkter, og herunder skriver du dem ud i en
løkke.

> while ($info = mysql_fetch_array($data))
> {
>
> echo "Varenummer: " . $info['varenummer'] . "<br/>";
> echo "Pris: " . $info['pris']. "<br/><br/>";
> }
>
Hvorfor vil du skrive dem alle ud?

>
>>> $tabeldata = "UPDATE products SET v_products_price = '$pris'
>>> WHERE products_model ='$varenummer'";
>>> $resultat = mysql_query($tabeldata);
>
>> Og hvis nogen skriver varenummeret "' or 1=1" får du opdateret hele
>> varelageret på een gang...
>
> Rent volapyk for mig.

har $varenummer værdien [' or 1=1] bliver dit query
UPDATE products SET v_products_price = '123.34'
WHERE products_model ='DECCA123' or 1=1";

WHERE-udtrykket er altid sandt, dvs alle varer opdateres.

>
>> Læs op på prepared statements og mysqli eller PDO.
>
> Tak for henvisningen, men jeg vælger at afstå fra at kaste mig ud i et større
> studie. Scriptet så så simpelt ud, at jeg tænkte det måtte være en smal sag
> at tilrette til eget brug.

Jeg prøver på at lave et klip til dig senere.

Martin

unread,
Dec 5, 2012, 10:22:37 AM12/5/12
to
On 05-12-2012 11:09, Kurt Hansen wrote:
> // Update tabel
>
> if (isset($_POST['update'])) {
>
> $varenummer = $_POST['varenummer'];
> $pris = $_POST['pris'];
>
> $tabeldata = "UPDATE products SET v_products_price = '$pris'
> WHERE products_model ='$varenummer'";
> $resultat = mysql_query($tabeldata);


Uhhh elsker disse dejlige unprepared og stole på hvad der kommer ind
tabel opdateringer :)

forstil dig at $_POST['varenummer'] er

' OR 1=1;/*

Bum så er ALLE dine produkter den pris eller vi kan lave den om til

' OR 1=1;DELETE FROM products WHERE 1=1;/*

Så er der ingen produkter i din tabel mere...

PS
i PHP 5.6 så er mysql_* markeret som deprecated og fejl vil blive kastet.

Ændre til mysqli eller endnu bedre PDO

scootergrisen

unread,
Dec 5, 2012, 4:37:32 PM12/5/12
to
> echo "Varenummer: " . $info['varenummer'] . "<br/>";
> echo "Pris: " . $info['pris']. "<br/><br/>";

Du har ikke noget der hedder varenummer og pris.

Gør sådan her :

> echo "Varenummer: " . $info['products_model'] . "<br/>";
> echo "Pris: " . $info['products_price']. "<br/><br/>";

Arne Vajhøj

unread,
Dec 5, 2012, 5:25:19 PM12/5/12
to
On 12/5/2012 8:09 AM, Kurt Hansen wrote:
> Den 05/12/12 12.58, Leif Neland skrev:
>> Og hvis nogen skriver varenummeret "' or 1=1" får du opdateret hele
>> varelageret på een gang...
>
> Rent volapyk for mig.

Prøv og google:
sql injection

>> Læs op på prepared statements og mysqli eller PDO.
>
> Tak for henvisningen, men jeg vælger at afstå fra at kaste mig ud i et
> større studie. Scriptet så så simpelt ud, at jeg tænkte det måtte være
> en smal sag at tilrette til eget brug.
>
> Måske ikke overraskende, dukker der problemer op og så vælger jeg at stå
> af. jeg har ganske enkelt ikke tid til at fordybe mig i (åbenbart)
> fornøden grad.

Jeg har svært ved at se pointen i at få en dårlig løsning til at
"virke".

Enten forsøger man at lave det ordentligt eller så forsøger man slet
ikke.

Arne

Kurt Hansen

unread,
Dec 5, 2012, 11:57:03 PM12/5/12
to
Den 05/12/12 23.25, Arne Vajhøj skrev:
> On 12/5/2012 8:09 AM, Kurt Hansen wrote:
>> Den 05/12/12 12.58, Leif Neland skrev:
>>> Og hvis nogen skriver varenummeret "' or 1=1" får du opdateret hele
>>> varelageret på een gang...
>>
>> Rent volapyk for mig.
>
> Prøv og google:
> sql injection
>
>>> Læs op på prepared statements og mysqli eller PDO.
>>
>> Tak for henvisningen, men jeg vælger at afstå fra at kaste mig ud i et
>> større studie. Scriptet så så simpelt ud, at jeg tænkte det måtte være
>> en smal sag at tilrette til eget brug.
>>
>> Måske ikke overraskende, dukker der problemer op og så vælger jeg at stå
>> af. jeg har ganske enkelt ikke tid til at fordybe mig i (åbenbart)
>> fornøden grad.

> Jeg har svært ved at se pointen i at få en dårlig løsning til at
> "virke".

Den er taget fra videoen her:
http://www.nemprogrammering.dk/Tutorials/MySQL/T7mysql.php. Jeg kunne jo
ikke vide på forhånd, at det var en dårlig løsning.

> Enten forsøger man at lave det ordentligt eller så forsøger man slet
> ikke.

Koden, som kunne copy/pastes så overskuelig ud. Jeg skulle "bare"
erstatte med mine tilsvarende oplysninger. Derfor ville jeg forsøge, men
bortset fra det, har jeg ikke mod på at kaste mig ud i at lære
programmering.

Leif Neland

unread,
Dec 6, 2012, 1:47:03 AM12/6/12
to
Følgende er skrevet af Kurt Hansen:
> Den 05/12/12 23.25, Arne Vajhøj skrev:
>> On 12/5/2012 8:09 AM, Kurt Hansen wrote:
>>> Den 05/12/12 12.58, Leif Neland skrev:
>>>> Og hvis nogen skriver varenummeret "' or 1=1" får du opdateret hele
>>>> varelageret på een gang...
>>>
>>> Rent volapyk for mig.
>>
>> Prøv og google:
>> sql injection
>>
>>>> Læs op på prepared statements og mysqli eller PDO.
>>>
>>> Tak for henvisningen, men jeg vælger at afstå fra at kaste mig ud i et
>>> større studie. Scriptet så så simpelt ud, at jeg tænkte det måtte være
>>> en smal sag at tilrette til eget brug.
>>>
>>> Måske ikke overraskende, dukker der problemer op og så vælger jeg at stå
>>> af. jeg har ganske enkelt ikke tid til at fordybe mig i (åbenbart)
>>> fornøden grad.
>
>> Jeg har svært ved at se pointen i at få en dårlig løsning til at
>> "virke".
>
> Den er taget fra videoen her:
> http://www.nemprogrammering.dk/Tutorials/MySQL/T7mysql.php. Jeg kunne jo ikke
> vide på forhånd, at det var en dårlig løsning.
>
Det er trist at en tutorial, der tilsyneladende er lavet i år, benytter
sig af mysql, der er "depreciated" i næste udgave af php, i stedet for
at bruge mysqli eller pdo.

Og bruger teknikker der i sikkert ti år har været kendte for at være
skyld i indbrud i databaser.

Din opdatering kan laves sikkert på denne måde:

try {
$DBH = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);
}
catch(PDOException $e) {
echo $e->getMessage();
die();
}

$tabeldata = $DBH->prepare(
"UPDATE products SET v_products_price = :pris
WHERE products_model = :varenr");

$tabeldata->execute(array('pris' => $_POST['pris'],
'varenr => $_POST['pris']));


Det bruger to sætninger i stedet for een, men er sikkert for
sql-injections, og er mere overskueligt, synes jeg.


Med hensyn til dine 30.000 records, ville jeg lave
opdateringsformularen til at man først skriver varenummer, og trykker
enter (submitter).
Så vises titel, og man kan skrive prisen, hvis det er den rigtige vare,
eller man kan gå tilbage og skrive en anden vare.

Lidt hastig pseudokode:
if (! isset($_FORM['varenr']) {
// Trin 1: Ingen inddata
echo "<form>Skriv varenr <input type=text name='varenr'></form>";
} else {
if (!isset($_FORM['pris']) {
// Trin 2: Varenr, ingen pris; spørg efter pris.
$vare_stmt=$dbh->prepare("select * from products where varenr=?");
$vare_stmt->execute(array($_FORM['varenr']));
$vare= $vare_stmt->fetch(PDO::FETCH_ASSOC);
echo "<form>Ny pris for ".$vare['products_model']."
".$vare['products_title']."<br>
<input type='hidden' name='varenr'
value='".$vare['products_title']."'>
Før ".$vare['products_price']."
Nu <input type='number' name='pris'></form>";
} else {
// Trin 3: Varenr og pris givet; opdater.
$tabeldata = $dbh->prepare(
"UPDATE products SET v_products_price = :pris
WHERE products_model = :varenr");

$tabeldata->execute(array('pris' => $_POST['pris'],
'varenr => $_POST['pris']));

echo "Vare opdateret<br>"
}
};

Arne Vajhøj

unread,
Dec 7, 2012, 4:19:56 PM12/7/12
to
On 12/5/2012 11:57 PM, Kurt Hansen wrote:
> Den 05/12/12 23.25, Arne Vajhᅵj skrev:
>> On 12/5/2012 8:09 AM, Kurt Hansen wrote:
>>> Den 05/12/12 12.58, Leif Neland skrev:
>>>> Og hvis nogen skriver varenummeret "' or 1=1" fᅵr du opdateret hele
>>>> varelageret pᅵ een gang...
>>>
>>> Rent volapyk for mig.
>>
>> Prᅵv og google:
>> sql injection
>>
>>>> Lᅵs op pᅵ prepared statements og mysqli eller PDO.
>>>
>>> Tak for henvisningen, men jeg vᅵlger at afstᅵ fra at kaste mig ud i et
>>> stᅵrre studie. Scriptet sᅵ sᅵ simpelt ud, at jeg tᅵnkte det mᅵtte vᅵre
>>> en smal sag at tilrette til eget brug.
>>>
>>> Mᅵske ikke overraskende, dukker der problemer op og sᅵ vᅵlger jeg at stᅵ
>>> af. jeg har ganske enkelt ikke tid til at fordybe mig i (ᅵbenbart)
>>> fornᅵden grad.
>
>> Jeg har svᅵrt ved at se pointen i at fᅵ en dᅵrlig lᅵsning til at
>> "virke".
>
> Den er taget fra videoen her:
> http://www.nemprogrammering.dk/Tutorials/MySQL/T7mysql.php. Jeg kunne jo
> ikke vide pᅵ forhᅵnd, at det var en dᅵrlig lᅵsning.

Jeg er sᅵ gammeldags at jeg automatisk er mistᅵnksom overfor
en video til at lᅵre noget om software udvikling.

>> Enten forsᅵger man at lave det ordentligt eller sᅵ forsᅵger man slet
>> ikke.
>
> Koden, som kunne copy/pastes sᅵ overskuelig ud. Jeg skulle "bare"
> erstatte med mine tilsvarende oplysninger. Derfor ville jeg forsᅵge, men
> bortset fra det, har jeg ikke mod pᅵ at kaste mig ud i at lᅵre
> programmering.

Ordner du ogsᅵ bremser pᅵ din bil efter at have set en
tilfᅵldig video pᅵ nettet uden ellers at lᅵre noget om
biler?

:-)

Arne

Arne Vajhøj

unread,
Dec 7, 2012, 10:38:16 PM12/7/12
to
On 12/5/2012 10:22 AM, Martin wrote:
> On 05-12-2012 11:09, Kurt Hansen wrote:
>> // Update tabel
>>
>> if (isset($_POST['update'])) {
>>
>> $varenummer = $_POST['varenummer'];
>> $pris = $_POST['pris'];
>>
>> $tabeldata = "UPDATE products SET v_products_price = '$pris'
>> WHERE products_model ='$varenummer'";
>> $resultat = mysql_query($tabeldata);
>
> Uhhh elsker disse dejlige unprepared og stole på hvad der kommer ind
> tabel opdateringer :)
>
> forstil dig at $_POST['varenummer'] er
>
> ' OR 1=1;/*
>
> Bum så er ALLE dine produkter den pris

Jep.

> eller vi kan lave den om til
>
> ' OR 1=1;DELETE FROM products WHERE 1=1;/*
>
> Så er der ingen produkter i din tabel mere...

Det bør nu give en fejl fordi multiple statements ikke
er supporteret.

Arne


Kurt Hansen

unread,
Dec 7, 2012, 11:25:35 PM12/7/12
to
Den 06/12/12 07.47, Leif Neland skrev:
> Følgende er skrevet af Kurt Hansen:

>> Den er taget fra videoen her:
>> http://www.nemprogrammering.dk/Tutorials/MySQL/T7mysql.php. Jeg kunne
>> jo ikke vide på forhånd, at det var en dårlig løsning.

> Det er trist at en tutorial, der tilsyneladende er lavet i år, benytter
> sig af mysql, der er "depreciated" i næste udgave af php, i stedet for
> at bruge mysqli eller pdo.
>
> Og bruger teknikker der i sikkert ti år har været kendte for at være
> skyld i indbrud i databaser.

Om ikke andet, så har denne tråd lært mig, at man ALDRIG skal stole på
en kode man kopierer, hvis man ikke selv er i stand til at overskue
konsekvenserne.

Det giver mig jo kun to muligheder:

1. At undlade at gøre noget som helst.
2. At "tage en uddannelse" i scriptsprog i database.
3. At betale nogen for at lave det jeg gerne vil

2 er, af tidsmæssige grunde, udelukket.
3 er, af økonomiske grunde, udelukket.

> Din opdatering kan laves sikkert på denne måde:
>
> try {
> $DBH = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);
> }
[klip]
> Med hensyn til dine 30.000 records, ville jeg lave opdateringsformularen
> til at man først skriver varenummer, og trykker enter (submitter).
> Så vises titel, og man kan skrive prisen, hvis det er den rigtige vare,
> eller man kan gå tilbage og skrive en anden vare.

Det lyder fornuftigt med denne visuelle kontrol for sikring af, at det
er det rigtige vare.

> Lidt hastig pseudokode:
> if (! isset($_FORM['varenr']) {
> // Trin 1: Ingen inddata

Pseudo formoder jeg betyder, at det er en skitse og ikke er testet?

Leif Neland

unread,
Dec 8, 2012, 4:11:22 PM12/8/12
to
Følgende er skrevet af Kurt Hansen:
> Den 06/12/12 07.47, Leif Neland skrev:
> Om ikke andet, så har denne tråd lært mig, at man ALDRIG skal stole på en
> kode man kopierer, hvis man ikke selv er i stand til at overskue
> konsekvenserne.

Det er ikke helt galt.

Man kan selvfølgelig reducere risikoen, hvis man kan

>
> Det giver mig jo kun to muligheder:
>
> 1. At undlade at gøre noget som helst.
> 2. At "tage en uddannelse" i scriptsprog i database.
> 3. At betale nogen for at lave det jeg gerne vil
>
> 2 er, af tidsmæssige grunde, udelukket.
> 3 er, af økonomiske grunde, udelukket.

Nu ikke så negativ... Mec vores kærlige hjælp skal det nok gå :-)




>
>> Din opdatering kan laves sikkert på denne måde:
>>
>> try {
>> $DBH = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);
>> }
> [klip]
>> Med hensyn til dine 30.000 records, ville jeg lave opdateringsformularen
>> til at man først skriver varenummer, og trykker enter (submitter).
>> Så vises titel, og man kan skrive prisen, hvis det er den rigtige vare,
>> eller man kan gå tilbage og skrive en anden vare.
>
> Det lyder fornuftigt med denne visuelle kontrol for sikring af, at det er det
> rigtige vare.
>
>> Lidt hastig pseudokode:
>> if (! isset($_FORM['varenr']) {
>> // Trin 1: Ingen inddata
>
> Pseudo formoder jeg betyder, at det er en skitse og ikke er testet?

Ikke testet, men det blev vist mere rigtig end pseudo, da jeg først gik
i gang :-) 75% chance for at det virker...

Leif Neland

unread,
Dec 8, 2012, 4:49:34 PM12/8/12
to
Leif Neland sendte dette med sin computer:
>
> Man kan selvfᅵlgelig reducere risikoen, hvis man kan
>
Nᅵ, der kom James Bond vist lige i vejen...

Jeg ville have skrevet at hvis man kan sikre at der kun er adgang fra
godkendte ip-adresser.

Leif

--
Husk kᅵrelys bagpᅵ, hvis din bilfabrikant har taget den idiotiske
beslutning at undlade det.


Kurt Hansen

unread,
Dec 8, 2012, 8:56:30 PM12/8/12
to
Den 08/12/12 22.49, Leif Neland skrev:
> Leif Neland sendte dette med sin computer:
>>
>> Man kan selvfᅵlgelig reducere risikoen, hvis man kan
>>
> Nᅵ, der kom James Bond vist lige i vejen...
>
> Jeg ville have skrevet at hvis man kan sikre at der kun er adgang fra
> godkendte ip-adresser.

Der vil kun vᅵre tale om op til 3 personer, mᅵske 4, sᅵ det burde vᅵre
overkommeligt.

Det er vel i .htaccess, formoder jeg, men how?
0 new messages