Problem ze skryptem php

**adrian218** · 27 Stycznia 2014

Witam napisałem sobie system newsów na stronkę, utworzyłem nową podstronę z dodawaniem newsa . Problem mam z tym, że przy każdym odświeżeniu strony dodaje newsa nawet gdy formularz jest pusty a zapytanie mam takie:

$query = mysql_query("insert into news values('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')");

Domyślam się , że muszę dodać do kodu jakiś warunek który nie zezwoli na puste wysłanie zapytania do bazy tylko nie wiem co mądremu google wpisać.

DawPi · 27 Stycznia 2014

Warunek if tytul to dodawaj. W sumie tyle.

**adrian218** · 27 Stycznia 2014

<?php
if (query = mysql_query("insert into news values('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')");)
{
instrukcje
}
?>

Coś takiego np ?

**adrian218** · 27 Stycznia 2014

if (query = mysql_query("insert into news values('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')");)
{
echo 'Wysłano!';
}
else
{
echo 'Nie wysłano';
}

Macsch15 · 28 Stycznia 2014

Sprawdzaj czy POST ma wartości z formularza.

Tapnięte z telewizora

**adrian218** · 28 Stycznia 2014

Zrobiłem tak i działa ale nie wiem czy poprawnie ale chyba skoro działa to tak miało być :

$tytul = $_POST["tytul"];
$autor = $_POST["autor"];
$tresc = $_POST["tresc"];
if (isset($_POST['send'])) {
        if (empty($tytul)) { 
                echo "Proszę wpisać tytuł newsa<br />";
}elseif (empty($autor)) {
                echo "Wprowadź autora newsa<br />";
}elseif (empty($tresc)) {
                echo "Nie wprowadzono tresci newsa lub jest ona zbyt krotka (min. 6 znakow).<br />";
}else {
echo "Twój news został wyslany. Dziekuje!";
$query = mysql_query("insert into news values('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')");
    }
}

**Leihto** · 28 Stycznia 2014

Działać powinno działać, natomiast powinieneś bardziej zainteresować się bezpieczeństwem swojego skryptu.. Mowa tu o SQL Injection..

**adrian218** · 28 Stycznia 2014

Pomyślałem o tym ale coś mi nie trybi wywala błąd:

Parse error: syntax error, unexpected T_VARIABLE in /home/p359123/public_html/stronka/addnews.php on line 12

$tytul = htmlspecialchars(mysql_real_escape_string $_POST["tytul"]));
$autor = htmlspecialchars(mysql_real_escape_string $_POST["autor"]));
$tresc = htmlspecialchars(mysql_real_escape_string $_POST["tresc"]));
if (isset($_POST['send'])) {
        if (empty($tytul)) { 
                echo "Proszę wpisać tytuł newsa<br />";
}elseif (empty($autor)) {
                echo "Wprowadź autora newsa<br />";
}elseif (empty($tresc)) {
                echo "Nie wprowadzono tresci newsa lub jest ona zbyt krotka (min. 6 znakow).<br />";
}else {
echo "Twój news został wyslany. Dziekuje!";
$query = mysql_query("insert into news values('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')");
    }
}

DawPi · 28 Stycznia 2014

No takiego błędu to już musisz się nauczyć sam szukać. Brakuje Ci (, a nawet trzech.

**JamLasica** · 28 Stycznia 2014

No takiego błędu to już musisz się nauczyć sam szukać. Brakuje Ci (, a nawet trzech.

No i nawet jak tam poprawi, to i tak nic to nie da... bo w mysql_query i tak odwołuje się bezpośrednio do $_POST, zamiast przefiltrowanych wartości ]:->

**adrian218** · 28 Stycznia 2014

Znalazłem droga dedukcji te brakujące france

$tytul = htmlspecialchars(mysql_real_escape_string ($_POST["tytul"]));
$autor = htmlspecialchars(mysql_real_escape_string ($_POST["autor"]));
$tresc = htmlspecialchars(mysql_real_escape_string ($_POST["tresc"]));

**adrian218** · 28 Stycznia 2014

$query = mysql_query("insert into news values('','".htmlspecialchars(($_POST['tytul'].)"',now(),'".$_POST['autor']."','".$_POST['tresc']."')");

Kombinowałem tak ale chyba nie tędy droga.

**JamLasica** · 28 Stycznia 2014

Po co stworzyłeś i przefiltrowałeś te zmienne... skoro z ich nie wykorzystujesz?

$tytul = htmlspecialchars(mysql_real_escape_string ($_POST["tytul"]));
$autor = htmlspecialchars(mysql_real_escape_string ($_POST["autor"]));
$tresc = htmlspecialchars(mysql_real_escape_string ($_POST["tresc"]));

**adrian218** · 28 Stycznia 2014

$query = htmlspecialchars(mysql_real_escape_string(mysql_query("insert into news values('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')")));
$result = mysql_query($query);

Zrobiłem tak ale nie wiem czy to jest poprawnie ?

**Leihto** · 28 Stycznia 2014

Nie. Jak już to tak:

$query = "INSERT INTO `news` VALUES('','".$_POST['tytul']."',now(),'".$_POST['autor']."','".$_POST['tresc']."')";
$result = mysql_query($query);

**JamLasica** · 28 Stycznia 2014

Chryste... jak koniecznie chcesz na chama zapisywać:

$query = mysql_query("insert into news values('','".$tytul."',now(),'".$autor."','".$tresc."')");

Przecież w jakimś celu stworzyłeś i przefiltrowałeś te zmienne! Edytowane 28 Stycznia 2014 przez JamLasica

**adrian218** · 28 Stycznia 2014

Ok wszystko mi pięknie działa ale mam jeszcze jedno pytanie do was czy tak zabezpieczony skrypt ujdzie , czy takie zabezpieczenie jest marne ?

Macsch15 · 28 Stycznia 2014

Jest marne. Filtrowanie danych możesz zrobić poprzez PDO.

Tapnięte z telewizora

Zaloguj się

Problem ze skryptem php

Rekomendowane odpowiedzi

adrian218

DawPi

adrian218

adrian218

Macsch15

adrian218

Leihto

adrian218

DawPi

JamLasica

adrian218

adrian218

JamLasica

adrian218

Leihto

JamLasica

adrian218

Macsch15

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Pliki

Cała aktywność

Przeglądaj

Powiadomienie o plikach cookie