SQL-udtræk og AJAX

Der er ikke direkte noget farligt i at oplyse kolonnenavne. Det _kan_ derimod være farligt, hvis du ikke validerer input:

E.g. (PHP)

...sql('SELECT ... ORDER BY ' . $_GET['sortBy']);

Forestil dig $_GET['sortBy'] = "etFelt; DUMP TABLE brugere;" FØJ! :)

Aah ja. Det kan jeg godt se. Det ville ikke være godt. Noget af min php/sql-barnelærdom må være gået tabt der - er det en php-funktion du har skrevet? sql()? Som validerer en sql-sætning?

Hov, eller er det bare ligesom mysql_query()?

Du kunne jo give felterne dæknavne eller lignende, måske bare numre, og så køre igennem at hvis sortBy=1 skal sortby variablen (I stedet for at bruge _GET direkte) være "username".

<ole>

sql-funktionen er bare pseudokode ... et eksempel.

Én eller anden form for identifier skal jo sendes med til klienten, så denne ved, hvad den skal stille op med de forskellige data, der hentes. Til det bruges meget ofte feltnavnene - f.eks:

<dataset>
    <user id="123">
        <username>olebole</username>
        <sex>male</sex>
        <age>53</age>
    </user>
    <user id="234">
        <username>hendeder</username>
        <sex>female</sex>
        <age>42</age>
    </user>
</dataset>

- eller i JSON:

{
    users:[
        {id:123, username:"olebole", sex:"male", age:"53"},
        {id:234, username:"hendeder", sex:"female", age:"42"}
    ]
}

/mvh
</bole>

Nja...er det ikke lidt at give en falsk tryghedsfølelse. Men selvfølgelig løser det problemet med at oplyse feltnavne, jeg tænkte bare, der må være en mere sikker løsning. Det er nok det med at validere inpunt, jeg skal arbejde på.

@olebole

Så er vi ude i noget xml eller hvad - som AJAX vel også er lavet til, men jeg requester en php-fil, der sender html tilbage til mig, som så bare skal vises i et eller andet element. Altså er det bare nogle data, der skal vises. Er det forkert?

Ja, "...sql()" var bare et eksempel :)

I det omfang du benytter innerHTML til at "vise" denne HTML er det forkert, ja.

olebole er HELT SIKKERT villig til at forklare :p

Indtil da kan du læse hans artikel http://www.dengodekode.dk/artikler/DOM/no_innerhtml.php

Okay :)
Ja, jeg har faktisk lige siddet og læst det. Og forsøgt mig med noget appendChild og replaceChild - og createTextNode(men den laver jo bare tekst).
Så nu ved jeg ikke rigtig, hvad jeg skal gøre, hvis jeg ikke må bruge innerHTML:)

Det er altså absolut heller ikke min stærke side. Som jeg har forstået kan man gribe det sådan an, at data overføres som JSON og man herefter opbygger et DOM-træ baseret herpå. Hertil kan oprettes et element for en tabalrække som klones og fyldes med data.

Der _må_ være hajer tilstede på Eksperten...

createElement og cloneNode er ret anvendelige DOM-metoder - f.eks:

var oContainer = document.getElementById("minContainer");
var oElm = document.createElement("div");
var oTxt = document.createTextNode("blabla");
oContainer.appendChild(oElm);
oElm.appendChild(oTxt);

At udskrive HTML på serveren tager i _bedste_ fald 4-5 gange så lang tid som at udskrive JSON, så det bør slet ikke falde nogen ind!  ;o)

Du kan evt. kikke lidt i denne tråd, hvor jeg har vist et par små eksempler:
    http://www.eksperten.dk/spm/817625

Jamen så må jeg jo hellere prøve at finde ud af noget i den retning:)
JSON...hvor kan man ellers bedst lære noget om det?

olebole og jensgram, hvis I lige smider et svar så får I nogle points...
Tak for hjælpen.

Den officielle reference ligger her:
    http://json.org/

En lille Eksperten artikel om JSON:
    http://www.eksperten.dk/artikler/1053

En artikel om arrays og objects i JavaScript (som er grundlaget for JSON):
    http://www.eksperten.dk/artikler/227

PS: 'hans' egen XMLHttpRequest-wrapper:
    http://dengodekode.dk/artikler/ajax/xmlhttprequest_wrapper.php

- er i øvrigt den bedst opdaterede og mest 'økologiske', jeg har set på nettet ... og jeg har faktisk tjekket ret nøje ud, hvad der findes  =)

Tak for det.
Så mangler jeg bare at finde ud at, hvordan jeg beskytter mig mod sql-injections. Det må jeg kunne læse mig til...

Jeg ville nok lave mine egne aliaser:

$sortby = array(
  'navn' => 'username',
  'alder' => 'birthdate',
  ...
);

if (isset($_GET['sortBy'], $sortby[$_GET['sortBy']]) {
    // herinde er $sortby[$_GET['sortBy']] sikker
}

I dag er den bedste måde at bruge MySQL på under PHP klart at bruge prepared statements (mysqli):
    http://dk2.php.net/manual/en/book.mysqli.php

Begynd f.eks. med eksemplerne her:
    http://dk2.php.net/manual/en/mysqli.prepare.php

Det skal naturligvis nævnes, at array'ets nøgler er valide værdier for ?sortBy=..., e.g. ?sortBy=navn

olebole > De fattige studerende glæder sig til at få den mulighed på de billige hoteller :)

De ska' zq bare ud og slæve nogle frossne brædder, ska' de!  ;D

- men det kommer forhåbentlig også snart på de billige steder, Jens  ;o)

Jep!

Men det var vist lidt O/T.

Hermed svar.