Proszę o subiektywną ocenę skryptu który dodaję chętnych do klanu w grze Counter-Strike. Jestem początkującym i chciałbym by ktoś mi doradził co mógłbym dodać bądź jak lepiej napisać. Przy okazji możecie ocenić wygląd strony (nie skończonej na razie, gdyż zaczynam od najtrudniejszego). Skrypt (by przetestować) znajduję się pod adresem: http://tnij.com/4NZO rekrutacja.php: http://tnij.com/xCa6 rekrutacja_dod.php: http://tnij.com/3tmr Oglądałem poczynania oceniających i muszę przyznać że nie wypełnianie pól nie ma sensu. Skrypt nie za działa, i ja muszę sprzątać ten syf. Zastanawiałem się czy warto napisać jakiś mini-panel administracyjny do tego. To było by trudne, nie ukrywam że nie wiem zbytnio jak to zrobić, ale poczytam trochę i wszytko będzie w porządku. Żmudne jest ciągłe logowanie się na FTP i modyfikacja pliku rekrutacja.txt.

no chyba nie ma co oceniac- jak widac po stronie, i to nie bylem ja

przede wszystkim filtruj wszelkie dane bo nic takiego nie robisz

zapoznaj sie z htmlspecialchars i stripslashes

Brak weryfikacji e-maila, a do tego pozwalasz sobie na wstawienieco właśnie zrobiłem

Czyli wypada zamienić znaczki "<" i ">" na ich HTML-owe odpowiedniki by takie rzeczy się nie zdarzały (z typ wklejaniem javascriptów przez użyszkodników)?

htmlspecialchars()

Zainteresuj się tą funkcją (wyjaśnienie w manualu)

Użyłem str_replace(), jestem zielony w tym temacie i czy ktoś mógłby mi doradzić jak zrobić to bardzie "przejrzyście". Więc zmodyfikowałem skrypt dodający do bazy (tekstowej). Oznaczyłem modyfikacje komentarzem. Dla zainteresowanych http://tnij.com/3tmr.

po prostu

$info = nl2br(htmlspecialchars($info));

OK, radex_p. Nadal kicha z cudzysłowami i apostrofami. Staram się zamienić je na ich HTML-owe zamienniki, ale tak czy siak wyświetla się backslash.

To PHP stara się myśleć za Ciebie i podmienia te cudzysłowia. Spróbuj zypełnie wyłączyć magic_quotes http://pl2.php.net/manual/pl/function.set-...tes-runtime.php albo potraktuj wszystkie pola $_POST funkcją http://pl2.php.net/manual/pl/function.stripslashes.php

Poza tym poczytaj manuala... przecież to co robisz w str_replace zupełnie nie ma się do tego co chcesz osiągnąć:

[PHP] pobierz, plaintext 
<?php
str_replace('"', '&quot;', $info);
?>
[PHP] pobierz, plaintext 

Zamieniasz, a przecież przeszkadza Ci


No i... bez obrazy... ale myśl! Zabezpieczyłeś się przed wrzucaniem kodu HTML w treść, a ja właśnie bez kłopotów wrzuciłemdo $_POST['user'].

Dzięki Zajac, potem nad tym po pracuje (nad myśleniem również, oczywiście) bo na razie nie mam czasu, obowiązki wzywają.