[ERLEDIGT] Sortierung

[Dominic28]

Hallo,
Ich möchte den Usern die Möglichkeit geben Inhalt nach Auswahlmöglichkeiten zu sortieren. Bisher habe ich das gelöst indem ich mit Hilfe von <select> eine ID an PHP übergebe und diese in einem Array einen Text darstellt, welcher dann an die MySQL-Abfrage angehängt wird.

$q = $_GET["q"];

$sort = array(
    "1" => "ORDER BY...",
    "2" => "ORDER BY...",
    "3" => "ORDER BY...",
    "4" => "ORDER BY...",
);

$sql = "SELECT irgendwas FROM tabelle ". $sort[$q] ."";

Allerdings kommt mir das viel zu umständlich und hässlich vor. Das kann man doch bestimmt ordentlicher lösen oder? Vieleicht mit Prepared Statements?

 

[XraYSoLo]

Mit einem Dropdown-Feld vielleicht?

<select size="1" name="auswahl">
   <option value="id">ID</option>
   <option value="name">Name</option>
   <option value="plz">Postleitzahl</option>
</select>

<select size="1" name="aufab">
   <option value="ASC">aufsteigend</option>
   <option value="DESC">absteigend</option>
</select>

<?php
$sql = "SELECT * FROM table ORDER BY '".$_POST['auswahl']."' ".$_POST['aufab']." ";
?>

Nils aka XraYSoLo

 

[Dominic28]

Okay, ist ja quasi das selbe. Du übergibst bei dir nur direkt den Text und ich ne Zahl, welcher dann der Text zugeordnet wird.
Ist deine Version dann nicht unsicherer?

 

[XraYSoLo]

Wenn es per $_GET übergeben wird, musst du das noch gegen Injections sichern. mysql_real_escape_string() gegen zerstörerische Inhalte und htmlentities() gegen direkte Interpretation von HTML-Code, um Designs zu schaden. Ansonsten sehe ich da keine Komplikationen.

Nils aka XraYSoLo

 

[Dominic28]

Okay, danke!
Habe das jetzt auch mit $_POST gemacht.

 

[CPCoder]

Wenn es per $_GET übergeben wird, musst du das noch gegen Injections sichern.

Das sollte man nicht nur bei Werte tun, die per GET übergeben wurden, sondern bei jeglichen Userinputs die verarbeitet werden, auch bei POST!
Schliesslich kann man auch POST-Daten manipulieren. (Dies solltest du als Moderator eigentlich wissen ;) )

 

[Dominic28]

Also ist es hierbei doch sicherer wenn ich nur eine zahl übergebe (mit $_POST) und die mit nem array abgleiche, oder?

if(is_numeric($_POST["id"])) {
    $q = $_POST["id"];
} else {
    $q = "1";
}

$sort = array(
    "1" => "ORDER BY...",
    "2" => "ORDER BY...",
    "3" => "ORDER BY...",
);

 

[XraYSoLo]

Schenkt sich nichts. Du kannst ja auch direkt auf die Werte innerhalb des array zugreifen und musst es nicht erst abgleichen.

Nils aka XraYSoLo

 

[Dominic28]

Aber so kann doch niemand die Abfrage verändern wenn ich generell per $_POST nur Zahlen annehme und denen den Text zurordne?

 

[Asterixus]

Du solltest auch überprüfen, ob die Zahl in dem Array auch existiert.

XraYSoLos Erklärungen und Tipps sind auch nicht gerade sehr korrekt. In seinem Beispiel schützt escape_string gegen gar nichts. htmlentities (oder besser htmlspecialchars) schützen nicht nur gegen Designschaden sondern nebenher auch noch gegen wirklich gefährliche Dinge wie XSS-Angriffe. htmlspecialchars() sollte man aber nicht beim Schreiben in die Datenbank benutzen, sondern nach dem Lesen aus der Datenbank, wenn man HTML ausgibt.
Sein Beispiel im ersten Beitrag ist übrigens SQL-Injection-anfällig.

 

[Dominic28]

Okay,
Das aus dem ersten Beitrag ist auch schon geschichte.
Kann ich meins jetzt so lassen wie im letzten Beitrag von mir?

 

[Asterixus]

Nein. Grund: sh. erster Satz aus meinem Beitrag über deiner Frage.

 

[Dominic28]

Dann hoffe ich mal, dass das hier richtig ist:

if(is_numeric($_POST["id"])) {
    $q = $_POST["id"];
    
    if(in_array($q, $sort) {
        $q = $q;
    } else {
        $q = "1";
    }
} else {
    $q = "1";
}

$sort = array(
    "1" => "ORDER BY...",
    "2" => "ORDER BY...",
    "3" => "ORDER BY...",
);

 

[Asterixus]

Auch nicht.
1) Du überprüfst nicht, ob effektiv $_POST['id'] existiert.
2) $sort ist noch gar nicht definiert, wenn du in_array benutzt.
[3) is_numeric solltest du besser durch ctype_digit ersetzen, das ist in dem Fall korrekter, da du keine Kommazahlen und negative Zahlen akzeptierst.]

 

[Dominic28]

Neuer Versuch:

$sort = array(
    "1" => "ORDER BY...",
    "2" => "ORDER BY...",
    "3" => "ORDER BY...",
);  

if(ctype_digit($_POST["id"])) {
    $q = $_POST["id"];
    
    if(!in_array($q, $sort) {
        $q = "1";
    }
} else {
    $q = "1";
}

Das versteh ich nicht ganz:
1) Du überprüfst nicht, ob effektiv $_POST['id'] existiert.

Ich guck doch ob $_POST['id'] eine Zahl ist und falls ja, ist $q diese Zahl. Danach guck ich ob die Zahl in dem Array zu finden ist und falls nicht ist $q automatisch 1.

Die anderen beiden Sachen sind einleuchtend. Danke dafür!

 

[Asterixus]

Sorry, ich wollte noch 'nen Link mitposten:

PHP: isset - Manual

 

[Dominic28]

Achso. Du meintest das so?

$sort = array(
    "1" => "ORDER BY...",
    "2" => "ORDER BY...",
    "3" => "ORDER BY...",
);

if(isset($_POST["id"])) {
    if(ctype_digit($_POST["id"])) {
        $q = $_POST["id"];

        if(!in_array($q, $sort) {
            $q = "1";
        }
    } else {
        $q = "1";
    }
} else {
    $q = "1";
}

 

[Asterixus]

Nein, hatte mir das nicht ganz durchgelesen. in_array überprüft nicht, ob ein Schlüssel existiert, sondern ob ein Wert im Array existiert. In deinem Fall reicht das:

$q = "1";
if (isset($_POST["id"]) && isset($sort[$_POST["id"]])) {
    $q = $_POST["id"];
}