Forum PHP.pl > [PHP]system news

Pomoc - Szukaj - Użytkownicy - Kalendarz

Altec69

13.09.2012, 07:01:17

Witam
Szukam porady.Mam następujący moduł newsów na stronie:

[PHP] pobierz, plaintext 
<?php
require_once ("include/functions.php");
require_once ("include/raconfigmzes.php");
require_once ("include/blocks.php");
if (!isset($CURUSER)) global $CURUSER;
?>
 
<table cellpadding=0 cellspacing=0 align=center width=100% style="margin-bottom:20px;">
 
        <tr>
        <TD width=100% align=left valign=top>
<table width="100%" border="0">
  <tr>
    <td style="border:0px solid #C0D7F3;" width="50%" valign="top"><span style="text-align:center;background: url('nav_black.jpg');display:block;color:#FFFFFF;font-size:11px;font-weight:bold;line-height:27px;height:27px;margin-bottom:12px;border-bottom:0px solid #C0D7F3;-moz-border-radius:10px;">Nowości na Portalu</span>
 
 <?
     print_news($GLOBALS['block_newslimit']);
    print("\t\t</td>\n"
        ."\t</tr>\n"
        ."</table><br />");
 
     print("</td></tr></table>");
 
?>
[PHP] pobierz, plaintext

Wszystko działa ok.Jako admin można dodawać newsy z poziomu strony tylko jako linki lub prosty text , ale nie można pisać w PHP czy HTML.

News.php

[PHP] pobierz, plaintext 
<?php
require_once ("include/functions.php");
require_once ("include/raconfigmzes.php");
 
dbconn();
 
standardheader('Manage News');
 
if ($CURUSER["edit_news"]!="yes")
   {
   err_msg(ERROR,ERR_NOT_AUTH);
   stdfoot();
   exit();
   }
 
if (isset($_GET["act"])) $action=$_GET["act"];
else $action ="";
 
if ($action=="del")
   {
       if ($CURUSER["delete_news"]=="yes")
          {
              mysql_query("DELETE FROM news WHERE id=".$_GET["id"]);
              redirect("index.php");
              exit();
          }
          else
              {
              err_msg(ERROR,CANT_DELETE_NEWS);
              stdfoot();
              exit();
              }
 
   }
elseif ($action=="edit")
       {
       if ($CURUSER["edit_news"]=="yes")
          {
              $rnews=mysql_query("SELECT * FROM news WHERE id=".intval($_GET["id"]));
              if (!$rnews)
                 {
                 err_msg(ERROR,ERR_BAD_NEWS_ID);
                 stdfoot();
                 exit();
                 }
              $row=mysql_fetch_array($rnews);
              if ($row)
                 {
                   $news=unesc($row["news"]);
                   $title=unesc($row["title"]);
                 }
              else
                  {
                   err_msg(ERROR,ERR_NO_NEWS_ID);
                   stdfoot();
                   exit();
                  }
          }
          else
              {
              err_msg(ERROR,CANT_DELETE_NEWS);
              stdfoot();
              exit();
              }
       }
else
    {
if (!isset($_POST["conferma"])) ;
      elseif ($_POST["conferma"]==FRM_CONFIRM)
         {
         if (isset($_POST["news"]) && isset($_POST["title"]))
            {
              $news=$_POST["news"];
              $uid=$CURUSER["uid"];
              $title=$_POST["title"];
              if ($news=="" || $title=="")
              {
                  err_msg(ERROR,ERR_INS_TITLE_NEWS);
              }
              else
              {
                $news=sqlesc($news);
                $title=sqlesc($title);
                $nid=intval($_POST["id"]);
                $action=$_POST['action'];
                if ($action=="edit")
                   mysql_query("UPDATE news SET news=$news,title=$title WHERE id=$nid") or die(mysql_error());
                else
                    mysql_query("INSERT INTO news (news,title,user_id,date) VALUES ($news,$title,$uid,NOW())") or die(mysql_error());
                redirect("index.php");
                exit();
              }
            }
         }
         elseif ($_POST["conferma"]==FRM_CANCEL) {
                redirect("index.php");
                exit();
                }
         else {
              $title="";
              $news="";
         }
}
 
block_begin(NEWS_PANEL);
global $news, $title;
?>
<div align="left">
  <form action="news.php" name="news" method="post">
  <table border="0" class="lista">
  <tr><td><input type="hidden" name="action" value="<?php echo $action ?>"/></td></tr>
  <tr><td><input type="hidden" name="id" value="<?php echo $_GET["id"] ?>"/></td></tr>
  <tr>
       <td align="left" colspan=2 class="header" >
           <?php echo NEWS_INSERT; ?>:<br />
       </td>
  </tr>
  <tr>
     <td align="left" class="lista" style="font-size:10pt">
         <?php echo NEWS_TITLE; ?>
     </td>
     <td align="left" class="lista">
         <input type="text" name="title" size="40" maxlength="40" value="<?php echo $title; ?>"/>
     </td>
  </tr>
  <tr>
     <td align="left" class="lista" valign="top" style="font-size:10pt">
         <?php echo NEWS_DESCRIPTION; ?>
     </td>
      <td align="left" class="lista">
  <?php echo textbbcode("news","news",$news); ?>
      </td>
  </tr>
  <tr>
  </tr>
  <tr>
     <td align="left" class="header" >
         <input type="submit" name="conferma" value="<?php echo FRM_CONFIRM ?>" />
     </td>
     <td align="left"class="header" >
         <input type="submit" name="conferma" value="<?php echo FRM_CANCEL ?>" />
     </td>
  </tr>
  </table>
  </form>
</div>
 
<?php
 
block_end();
 
?>
[PHP] pobierz, plaintext

csharp

13.09.2012, 10:22:14

nie rozumiem... czego Ty oczekujesz? co sie dzieje jak dodajesz html ?

b4rt3kk

13.09.2012, 12:31:36

Za to możesz dodawać BB Code z tego co widzę, chyba starczy? Jeśli nie podoba Ci się takie rozwiązanie poszukaj w funkcjach strip_tags oraz stripslashes, które to usuwają html oraz php i znaki niedozwolone ze stringa, który zapisujesz później w bazie. Można się domyślać, że odpowiedzialna za to jest funkcja sqlesc($string), możesz ją usunąć.

Altec69

14.09.2012, 07:33:37

Dzięki za podpowiedz, już sobie poradzę .

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.