Paul
/
Security-VM
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

Switched to mysqli

Browse Source
Paul Wagener 11 years ago
parent 355afdc3ed
commit 456a8c474d
3 changed files with 19 additions and 29 deletions
Show all changes Ignore whitespace when comparing lines Ignore changes in amount of whitespace Ignore changes in whitespace at EOL
Show Stats Download Patch File Download Diff File
  1. 17
      bank/index.php
  2. 16
      webshop/index.php
  3. 15
      webshop/product_detail.php

17
bank/index.php
Unescape View File

@ -11,7 +11,7 @@
<link id="callCss" rel="stylesheet" href="/themes/css/bootstrap.min.css" media="screen"/> <link id="callCss" rel="stylesheet" href="/themes/css/bootstrap.min.css" media="screen"/>
<link href="/themes/css/bootstrap-responsive.min.css" rel="stylesheet"/> <link href="/themes/css/bootstrap-responsive.min.css" rel="stylesheet"/>
</head> </head>
<!-- De code in dit bestand is met opzet slecht en zeer onveilig opgezet. <!-- De code in dit bestand is met opzet slecht en zeer onveilig opgezet.
GEBRUIK DEZE CODE NIET als referentiemateriaal voor je eigen PHP projecten! --> GEBRUIK DEZE CODE NIET als referentiemateriaal voor je eigen PHP projecten! -->
@ -42,36 +42,33 @@ if($_POST) {
/** /**
* Maak verbinding met de database * Maak verbinding met de database
*/ */
$connection = mysql_connect('localhost', 'bank', 'pass') $connection = new mysqli('localhost', 'bank', 'pass', 'bank')
or die('Kan geen verbinding maken met MySQL'); or die('Kan geen verbinding maken met MySQL');
$db = mysql_select_db('bank', $connection)
or die('Kan de database niet selecteren');
/** /**
* Zoek gebruiker in de database met de juiste gebruikersnaam en wachtwoord * Zoek gebruiker in de database met de juiste gebruikersnaam en wachtwoord
*/ */
$query = "SELECT * FROM gebruikers WHERE gebruikersnaam = '" . $_POST['gebruikersnaam'] . "' AND wachtwoord = '" . $_POST['wachtwoord'] . "'"; $query = "SELECT * FROM gebruikers WHERE gebruikersnaam = '" . $_POST['gebruikersnaam'] . "' AND wachtwoord = '" . $_POST['wachtwoord'] . "'";
$result = mysql_query($query) $result = $connection->query($query)
or die('<div class="alert alert-danger">Query error: <pre>' . mysql_error() . '</pre>Query: <code>' . $query . '</code> </div>'); or die('<div class="alert alert-danger">Query error: <pre>' . $connection->error . '</pre>Query: <code>' . $query . '</code> </div>');
/** /**
* Kijk of de query iets heeft teruggegeven. Anders geven we een error * Kijk of de query iets heeft teruggegeven. Anders geven we een error
*/ */
if(mysql_num_rows($result) == 0) { if($result->num_rows == 0) {
die('<div class="alert alert-danger">Inlog gegevens niet correct</div>'); die('<div class="alert alert-danger">Inlog gegevens niet correct</div>');
} else { } else {
/** /**
* Gebruiker heeft correct ingelogd. Laat zijn balans zien * Gebruiker heeft correct ingelogd. Laat zijn balans zien
*/ */
$row = mysql_fetch_array($result); $row = $result->fetch_array();
echo "<div class=\"well\">Welkom terug " . $row['gebruikersnaam'] . "! "; echo "<div class=\"well\">Welkom terug " . $row['gebruikersnaam'] . "! ";
echo "Uw balans is op dit moment: <b>" . $row['balans'] . " euro</b></div>"; echo "Uw balans is op dit moment: <b>" . $row['balans'] . " euro</b></div>";
} }
mysql_close($connection); $connection->close();
} else { } else {
/** /**

16
webshop/index.php
Unescape View File

@ -11,7 +11,7 @@
<link href="/themes/css/base.css" rel="stylesheet" media="screen"/> <link href="/themes/css/base.css" rel="stylesheet" media="screen"/>
<link href="/themes/css/bootstrap-responsive.min.css" rel="stylesheet"/> <link href="/themes/css/bootstrap-responsive.min.css" rel="stylesheet"/>
<link href="/themes/css/font-awesome.css" rel="stylesheet" type="text/css"> <link href="/themes/css/font-awesome.css" rel="stylesheet" type="text/css">
<!-- De code in dit bestand is met opzet slecht en zeer onveilig opgezet. <!-- De code in dit bestand is met opzet slecht en zeer onveilig opgezet.
GEBRUIK DEZE CODE NIET als referentiemateriaal voor je eigen PHP projecten! --> GEBRUIK DEZE CODE NIET als referentiemateriaal voor je eigen PHP projecten! -->
</head> </head>
@ -65,17 +65,13 @@
/** /**
* Maak verbinding met de database * Maak verbinding met de database
*/ */
$connection = mysql_connect('localhost', 'webshop', 'pass') $connection = new mysqli('localhost', 'webshop', 'pass', 'webshop')
or die('Kan geen verbinding maken met MySQL'); or die('Kan geen verbinding maken met MySQL');
$db = mysql_select_db('webshop', $connection) $result = $connection->query("SELECT * FROM producten")
or die('Kan de database niet selecteren'); or die('Query error: ' . $connection->error);
$result = mysql_query("SELECT * FROM producten")
or die('Query error: ' . mysql_error());
while ($row = mysql_fetch_array($result)) { while ($row = $result->fetch_array()) {
?> ?>
<li class="span3"> <li class="span3">
@ -94,7 +90,7 @@ while ($row = mysql_fetch_array($result)) {
<?php <?php
} }
mysql_close($connection); $connection->close();
?> ?>
</ul> </ul>
<hr class="soft"/> <hr class="soft"/>

15
webshop/product_detail.php
Unescape View File

@ -56,20 +56,17 @@
/** /**
* Maak verbinding met de database * Maak verbinding met de database
*/ */
$connection = mysql_connect('localhost', 'webshop', 'pass') $connection = new mysqli('localhost', 'webshop', 'pass', 'webshop')
or die('Kan geen verbinding maken met MySQL'); or die('Kan geen verbinding maken met MySQL');
$db = mysql_select_db('webshop', $connection) $query = 'SELECT naam, afbeelding, beschrijving, prijs FROM producten WHERE id = ' . $connection->real_escape_string($_GET['id']);
or die('Could not select database');
$query = 'SELECT naam, afbeelding, beschrijving, prijs FROM producten WHERE id = ' . mysql_real_escape_string($_GET['id']); $result = $connection->query($query)
or die('<div class="alert alert-danger">Query error: <pre>' . $connection->error . '</pre>Query: <code>' . $query . '</code> </div>');
$result = mysql_query($query) $row = $result->fetch_array();
or die('<div class="alert alert-danger">Query error: <pre>' . mysql_error() . '</pre>Query: <code>' . $query . '</code> </div>');
$row = mysql_fetch_array($result); $connection->close();
mysql_close($connection);
?> ?>
<div class="row"> <div class="row">

Write Preview
Loading…
Cancel
Save