Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]prosze o sprawdzenie kodu
Forum PHP.pl > Forum > Przedszkole
gregov0
1.02.2011, 21:08:33
skrypt dziala ale prosze o sprawdzenie i ocene czy jest bezpieczny i czy wszystko jest w nim tak jak trzeba lub co nalezy zmienic 
[PHP] pobierz, plaintext 
  1. <?php
  2. if(isset($_POST["submit"])) {
  3. 	include ("db.php");
  4.  
  5. 	$pyt = mysql_real_escape_string(htmlspecialchars(trim($_POST['pyt'])));
  6. 	$odpa = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpa'])));
  7. 	$odpb = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpb']))); 
  8. 	$odpc = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpc'])));
  9. 	$odpd = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpd'])));
  10. 	$odppraw = mysql_real_escape_string(htmlspecialchars(trim($_POST['odppraw'])));
  11.  
  12. if (empty($pyt)||empty($odpa)||empty($odpb)||empty($odpc)||empty($odpd)||empty($odppraw)) { 
  13. 	echo 'Wypełnij wszystkie pola!';} 
  14. else { 
  15. 	echo $add = mysql_query("INSERT INTO quiz(pyt, odpa, odpb, odpc, odpd, odppraw) VALUES('$pyt', '$odpa', '$odpb','$odpc','$odpd','$odppraw')"); 
  16. }
  17.  
  18.  
  19. 	if ($add) {
  20. 		echo '<p>Dodano do bazy</p>';
  21. 	} else {
  22. 		echo mysql_error(); echo '<p>Błąd! Spróbuj ponownie</p>';
  23. 	}
  24. } else {
  25. ?>
  26.  <!-- kod formularza-->
  27.  <form action="dodpyt.php" method="post">
  28. <table>
  29. <tr>
  30.   <td align="right">Pytanie: </td>
  31.   <td><textarea name="pyt" rows=5 cols=30 warp=phisical></textarea></td>
  32. </tr>
  33. <tr>
  34.   <td align="right">Odpowiedz a: </td>
  35.   <td><textarea name="odpa" rows=5 cols=30 warp=phisical></textarea></td>
  36. </tr>
  37. <tr>
  38.   <td align="right">Odpowiedz b: </td>
  39.   <td><textarea name="odpb" rows=5 cols=30 warp=phisical></textarea></td>
  40. </tr>
  41. <tr>
  42.   <td align="right">Odpowiedz c: </td>
  43.   <td><textarea name="odpc" rows=5 cols=30 warp=phisical></textarea></td>
  44. </tr>
  45. <tr>
  46.   <td align="right">Odpowiedź d: </td>
  47.   <td><textarea name="odpd" rows=5 cols=30 warp=phisical></textarea></td>
  48. </tr>
  49. <tr>
  50.   <td align="right">Poprawna odpowiedz to: </td>
  51.   <td><input type="text" name="odppraw"> - tu wpisz a,b,c lub d</td>
  52. </tr>
  53. <tr>
  54.   <td colspan="2" align="right">
  55.   <input type="submit" name="submit" value="Zapisz" /></td>
  56. </tr>
  57. </table>
  58. </form> 
  59.  
  60. <?php
  61. }
  62. ?>
[PHP] pobierz, plaintext
Piogola
1.02.2011, 21:32:25
Skrypt ok, tylko po co filtrujesz dane przed sprawdzeniem, czy są wypełnione?
darko
1.02.2011, 22:10:29
Za eksperta w poprawianiu czyjego kodu się nie uważam, ale mam kilka luźnych uwag.
Z tego
[PHP] pobierz, plaintext 
  1.  mysql_real_escape_string(htmlspecialchars(trim(
[PHP] pobierz, plaintext

lepiej zrobić prostą funkcję. Zainteresuj się klasą PDO, naucz się z niej poprawnie korzystać i nie będziesz musiał pisać takich potworków sprawdzających przychodzące zmienne. Sprawdzaj czy długość zmiennych poszczególnych odpowiedzi nie jest większa od maksymalnej długości ustawionej w bazie dla tych danych. Znacznik textarea nie ma atrybutu warp, a wrap który jest niestandardowy i interpretowany przez niektóre wersje przeglądarek Netscape i IE. Znacznik input należy zamykać <input type="text" name="odppraw" />. Sam formularz można byłoby przyozdobić jakoś i uporządkować, zamiast jednego pola input (odppraw) wstawiłbym cztery inputy radio po każdym na odpowiedź.

http://www.answerbag.com/q_view/325939
http://stackoverflow.com/questions/263938/...sing-javascript
Ulysess
1.02.2011, 22:21:32
hmm i jaki jest sens używania htmlspecialchars przy zapisywaniu bez drukowania ?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.