Jump to content

  • Announcements

    • Xmat

      Pravidlo pro postování v TTT

      Do sekce Tipy, triky, tutoriály nepatří žádné dotazy.   Postujte sem vaše návody, tipy a různé další věci jež uznáte za vhodné sdělit zdejšímu osazenstvu, ale veškeré dotazy směřujte do sekce Všeobecná diskuse.
    • Replik

      Seznam návodů a důležitých témat v této sekci

      Pro lepší přehlednost jsem vytvořil tento seznam, který vás, méně zkušené, lépe provede touto sekcí. Věřím, že zde najdete, co hledáte. Vypsané jsou návody, které jsou oficiálně uznané jako návody. Běžné diskuze, které neposkytují postupy a rady zvěřejněny nejsou.   Instalace vlastního MaNGOS Serveru Díky těmto návodům budete (měli by jste být) schopni vytvořit a následně spustit váš vlastní server. Nastavení je pro verze s i bez datadisku.   Instalace MaNGOS Serveru (bez datadisku TBC) - Autor Benny Instalace MaNGOS Serveru (s datadiskem TBC) - Autor Malfik Instalace MaNGOS Serveru v prostředí Linux - Autor charlie Instalace MaNGOS Serveru v prostředí Linux - Autor kupkoid   Chyby a jejich řešení při přihlašování k serveru - Autor Cybe   Zálohování uživatelských dat   Dávkový soubor (BAT soubor) pro vytvoření SQL záloh - Autor Replik   Kompilování - tvoření vlastních release (revizí)   Tvorba kompilací pro Win32 (MangoScript) - Autor bLuma   Ostatní - těžko zařaditelné, ale neznamená to, že nejsou dobré   VIP Systém - Autor charlie Tvorba Webových stránek pro MaNGOS - Autor zahuba Tvorba teleportačních NPC (MangoScript) - Autor Replik Registrační web (původně předělaná SPORA) Funkční pro Antrix i MaNGOS - Autor Replik Nastavení a spuštění Minimanager pro MaNGOS - Autor BlackMartin Nastavení MaNGOS Website - Autor Artorius   Samozřejmě jsou zde i jiné návody, ale tyto jsou nejvíce používané, proto věřím, že vám budou nápomocné. Tuto sekci budeme upravovat podle potřeby. Pokud by jste něco nenašli nebo si nevěděli rady, hledejte na fóru a teprve potom založte vlastní topik. Pokud nějaký autor vytvoří kvalitní návod a chtěl by ho zveřejnit i v tomto seznamu, doporučuji, aby mi napsal zprávu skrze PM.   Díky a přeji hezký den na WoWResource   Replik
    • Aristo

      Příspěvky tam, kde nemají co dělat

      Dodržujte zákaz přispívání do topiků s repaky pokud si to zakladatelé nepřejí!! Opakované psaní příspěvků bude trestáno warnem.
    • Aristo

      Používání spoilerů

      Poslední dobou má většina uživatelů fora zvláštní nutkání postovat extrémně dlouhé texty nebo kódy, které zabírají v nejedenom případu i 80% obsahu celé stránky a hodně tak zvedají nepřehlednost v topiku. Chtěl bych všechny uživatele požádat, aby při postování citací, jakýchkoliv kódů, errorů, atp... delších než 30 řádků používali funkci spoileru.   Funkci vyvoláte příkazem [spoiler] text [/spoiler]   Ukázka:  
Sign in to follow this  
Followers 0
KoblizekX2

[PHP]Administrace

By KoblizekX2, in Programování

Recommended Posts

KoblizekX2    2

KoblizekX2
Posted (edited)

Čau udělal jsem si vlastní administraci na přidávání nových stránek ale zdá se mě to trochu divný nešlo by to udělat jinak? :D

Udělal jsem že to čte z db obsah atd.

 

post_db.php

 

 

<?php
include '../config.php';
session_start();
?>

<?php
if (isset($_SESSION['player']))
{
 $player=$_SESSION['player'];
}
else
{
 echo "Nejsi přihlášen <br><br> <A href='index.php'>Přihlásit se</a>";
 exit;
}

$playerinfo="SELECT * from uzivatele where jmeno='$player'";
$playerinfo2=mysql_query($playerinfo) or die("Nenalezeno!");
$playerinfo3=mysql_fetch_array($playerinfo2);

$nadpis = nl2br($_POST['nadpis']);
$stranka = nl2br($_POST['stranka']);
$text = nl2br($_POST['text']);
$domenu = $_POST['domenu'];
$jmeno = $playerinfo3['jmeno'];
$datum = date("j.m.Y");

if ($text == "")
{
echo "Nemůžete odeslat prázdný!<br>";
echo " <A href='index.php'>Vrátit se zpět</a>";
exit;
}

$isaddress="SELECT * from stranky where stranka='$stranka'";
$isaddress2=mysql_query($isaddress) or die("not able to query for password");
$isaddress3=mysql_fetch_array($isaddress2);
if($isaddress3)
{
print "V databázi již je stránke se jménem: $stranka.";
echo " <A href='index.php'>Vrátit se zpět</a><br>";
exit;
}

$SQL = "INSERT into stranky(stranka, text, nadpis, datum, napsal) VALUES ('$stranka', '$text', '$nadpis', '$datum', '$napsal')";
mysql_query($SQL) or die("Nelze");

if ($domenu == "0")
{
$SQL = "INSERT into menu(stranka, nadpis) VALUES ('$stranka', '$nadpis')";
mysql_query($SQL) or die("Nelze přidat do menu");
$pridano = "Ano";
}
else
{
$pridano = "Ne";
}


?>

<div id="u_odeslano" div align="center">
<?php 

echo "<H3>Přispěvek byl úspěně odeslán....<BR></H3";
echo "<a href='../index.php?page=$stranka'>Přejít na vytvořenou stránku</A><BR><BR>";
echo ""
echo "<H3><a href='index.php'>Vrátit se na hlavní stránku</H3>"; 

?>
</div>

 

 

 

index.php

 

 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>  
 <head>  
   <link rel="stylesheet" type="text/css" href="style.css" />  
   <!--[if IE]><link rel="stylesheet" type="text/css" href="css/ie.css" /><![endif]-->  
   <!--[if IE 6]><link rel="stylesheet" type="text/css" href="css/ie.css" /><![endif]-->  
   <meta http-equiv="content-type" content="text/html; charset=windows-1250">  
   <title>Test
   <?php include "config.php"; session_start(); ?>
   </title>  
<script type="text/javascript" src="scripts/iepngfix_tilebg.js"></script>     
 </head>  
 <body>
<?php
 if (isset($_REQUEST['page']))
       {
       $reqstranka = $_REQUEST['page'];
       }
       else
       {
       $reqstranka = "main";
       }

$query = mysql_query("SELECT * from stranky where stranka = '$reqstranka'");
while($row = mysql_fetch_assoc($query))

$nadpis = nl2br($row['nadpis']);
?>


   <div id="stranka">

   <!-- ============Leví panel=============== -->                   
     <div id="levi_panel">

   <!-- ============ Menu =============== -->                    
       <div class="panel_top">
         <div class="ttp">
         Menu
         </div>
       </div>

       <div class="panel_content">            
         <center>              
           <div class="panel_text">                
           <?php                    
           include "edit/menu.php";
           ?>                 
           </div>            
         </center>          
       </div>                     
       <div class="panel_bottom_menu">          
       </div>
   <!-- ============ Menu konec =============== -->

     </div>
   <!-- ============Leví panel konec=============== -->

   <!-- ============ Střed =============== -->

     <div id="stred_panel">

         <div class="stred_top">
           <div class="ttp_nov">
            <?php echo $nadpis; ?>
           </div>
         </div>

         <div class="stred_content">
           <center>
             <div class="break"></div>
             <div class="stred_text">
               <?php
               $query = mysql_query("SELECT * from stranky where stranka = '$reqstranka'");
               while($row = mysql_fetch_assoc($query))
               $text = nl2br($row['text']);

               echo $text;
               ?>                 
             </div>
           </center>
         </div>

         <div class="stred_bottom">
         <!-- Sem přijde script na výpis datumu a autora -->
         </div>

     </div>

   <!-- ============ Střed konec =============== -->

  </div>                
<script type="text/javascript" src="scripts/menu.js"></script>     
 </body>
</html>

 

 

 

Nikdo nic? :ermm: Prosim pomožte :)

 

Nikdo nic? :ermm: Prosim pomožte :)

Edited by bLuma

Share this post

Link to post
Share on other sites

ntdrt    29

ntdrt
Posted

Všechno a vždy jde udělat jinak.

 

No líp by šlo určitě udělat HTML.. Určitě to nebudeš mít validní.

Pak tam máš pár nesmyslů jako:

...
<!--[if IE]><link rel="stylesheet" type="text/css" href="css/ie.css" /><![endif]-->  
   <!--[if IE 6]><link rel="stylesheet" type="text/css" href="css/ie.css" /><![endif]-->
...

Překlad: když je detekován prohlížeč IE tak použij styl ie.css a pod tím máš když je detekován prohlížeč IE verze 6 tak použij zase styl ie.css.

IE 6 je taky IE. A celkově je nesmysl řešit optimalizaci pro IE když co řádek to chyba.

 

K php..

Nemáš vůbec ošetřené vstupy. Tento script je ukázkou jak se nesmí vkládat do databáze -> SQL Injection.

...
$nadpis = nl2br($_POST['nadpis']);
$stranka = nl2br($_POST['stranka']);
$text = nl2br($_POST['text']);
$domenu = $_POST['domenu'];
$jmeno = $playerinfo3['jmeno'];
$datum = date("j.m.Y");
...
...
$SQL = "INSERT into stranky(stranka, text, nadpis, datum, napsal) VALUES ('$stranka', '$text', '$nadpis', '$datum', '$napsal')";
mysql_query($SQL) or die("Nelze");
...

Cokoliv co jde od uživatele MUSÍ být ošetřeno. Takhle ti uživatel krásně dosadí za proměnou další SQL dotaz třeba na smazání celé databáze.

 

Řešením je každý nebezpečný vstup "escapovat" pro to lze využít napríklad funkci mysql_real_escape_string (logicky bude fungovat jen pro script kde pracuješ s MySQL databází).

...
$nadpis = nl2br(mysql_real_escape_string($_POST['nadpis']));
...

A trochu bych zapojil optimalizaci, proč to dělat složitě, když to jde jednoduše.

...
               <?php
               $query = mysql_query("SELECT * from stranky where stranka = '$reqstranka'");
               while($row = mysql_fetch_assoc($query))
               $text = nl2br($row['text']);

               echo $text;
               ?>
...

Lepší řešení:

...
               <?php
                 $query = mysql_query("SELECT text FROM stranky WHERE stranka = '".mysql_real_escape_string($reqstranka)."'");
                 while($row = mysql_fetch_assoc($query)){
                   echo $row['text'];
                 }
               ?>
...

A bude tam toho určitě více..

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  
Followers 0
Go To Topic Listing Programování
×