Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP] [MySQL] Księga gości ze zdjęciem
Forum PHP.pl > Forum > Przedszkole
szachmat
13.01.2016, 09:15:38
Witam,

od kilkunastu dni serfuje po necie w poszukiwaniu startowego skryptu, na którym będę mógł oprzeć swoją przygodę z programowaniem.
Chciałbym stworzyć księgę gości z możliwością dodawania zdjęć.
Znalazłem interesujące mnie rozwiązanie, ale muszę je trochę zmodyfikować pod kątem upload i download "blob" z MySQL.
Poniżej przedstawiam działający skrypt Ojca dyrektora.
Jest to działająca księga gości z możliwością dodawania i usuwania wpisów.

W necie jest wiele innych skryptów księgi gości, również i takich, za sprawą których można dodawać zdjęcia.
Niemniej jednak mnie interesuje poznanie i modyfikacja tego skryptu pod kątem możliwości dodania zdjęcia.

ksiega.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   session_start();
  3.   include ('config.php');
  4.   include ('function.php');
  5.  
  6.     $tryby_ukryte = array('dod','update','del','wyloguj');
  7.   $wyswietl=true;
  8.   if (in_array($_GET['m'],$tryby_ukryte)) $wyswietl=false;
  9.  
  10.   if ($wyswietl) echo '<h1> Księga Gości </h1>';
  11.  
  12.     if ($_SESSION['admin']=='zalogowany' || ( $_POST['login']==$log_admin && $_POST['password']==$pass_admin))
  13.   {
  14.         if ($wyswietl) echo '<h2>Witaj '.$log_admin.'! - <a href="ksiega.php?m=wyloguj">Wyloguj</a></h2>';
  15.            $_SESSION['admin']='zalogowany';
  16.          $admin=true;
  17.   } else if($_GET['m']!='wyloguj') 
  18.   {
  19.            if ($wyswietl) echo '<a href="ksiega.php?m=login">Zaloguj</a><br />';
  20.   }
  21.  
  22.     $cid = mysql_connect($dbhost, $dbuser, $dbpass) or die (mysql_error()); 
  23.   mysql_select_db($dbname) or die(mysql_error());
  24.  
  25.    if(!$wyswietl)
  26.   {
  27.    if (($_GET['m']=='dod' || $_GET['m']=='update' ) && !empty($_POST['osoba']) && !empty($_POST['wpis']))
  28.    {
  29.          $data = mktime();  
  30.                 $osoba = addslashes(nl2br(htmlentities($_POST['osoba']))); 
  31.           $wpis  = addslashes(nl2br(htmlentities($_POST['wpis'])));
  32.    }  
  33.    if ($_GET['m']=='dod' && !empty($osoba) && !empty($wpis))
  34.    {    
  35.          $sql = 'INSERT INTO '.$tabela.' (id,data,osoba,wpis) VALUES (NULL,'.$data.', \''.$osoba.'\', \''.$wpis.'\')';
  36.          mysql_query($sql) or die (mysql_error());
  37.    }  
  38.    if ($_GET['m']=='update' && !empty($osoba) && !empty($wpis) && !empty($_POST['id']))
  39.    {
  40.                 $sql = 'UPDATE '.$tabela.' SET osoba=\''.$osoba.'\', wpis=\''.$wpis.'\' WHERE id='.(int)$_POST['id'];
  41.          mysql_query ($sql) or die (mysql_error());
  42.    }
  43.    if ($_GET['m']=='del' && $admin && is_numeric($_GET['id']))
  44.    {
  45.                 $sql = 'DELETE FROM '.$tabela.' WHERE id='.$_GET['id'];
  46.          mysql_query ($sql) or die(mysql_error());
  47.    }
  48.    if ($_GET['m']=='wyloguj')
  49.    {
  50.                 unset($_SESSION['admin']);
  51.    }
  52.    header('Location: ksiega.php');
  53.   }
  54.  
  55.     if ($_GET['m']=='edit' && $admin && is_numeric($_GET['id']))
  56.   {
  57.                 echo '<h3>Edycja</h3>';
  58.                 $sql = 'SELECT id, osoba, wpis FROM '.$tabela.' WHERE id='.$_GET['id'];
  59.          $result = mysql_query ($sql) or die(mysql_error());
  60.          $row = mysql_fetch_assoc($result);
  61.          formularz($row['id'],$row['osoba'],$row['wpis'],'update');
  62.   }
  63.  
  64.     if ($wyswietl && $_GET['m']!='edit')
  65.   {
  66.                 view($tabela,$admin);
  67.                 formularz();
  68.   }  
  69.  
  70.   if ($_GET['m']=='login')
  71.   {
  72.                 zaloguj();
  73.   }
  74. ?>
[PHP] pobierz, plaintext


function.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   function view($tabela,$admin)
  3.   {
  4.         $sql = 'SELECT id, data, osoba, wpis FROM '.$tabela.' ORDER BY data DESC';
  5.         $result = mysql_query ($sql) or die(mysql_error());
  6.         $ile = mysql_num_rows($result);
  7.  
  8.         echo 'W bazie jest '.$ile. ' wpisów.';
  9.  
  10.         while ($row = mysql_fetch_assoc ($result)) //*while - pętla "podczas gdy", assoc - zapisuje wiersz wyników w tab. asoc., $result - wyniki*//
  11.         { 
  12.                  echo '<dl><dt>'.date('d M y H:i.s',$row['data']).'<dd><b>'. stripslashes($row['wpis']).', </b> </dd> <i>'.$row['osoba'].'</i>';
  13.           if ($admin) echo ' - <a href="ksiega.php?m=edit&amp;id='.$row['id'].'">Edytuj</a> | <a href="ksiega.php?m=del&amp;id='.$row['id'].'">Usuń</a>';
  14.                 echo '</dt></dl>'."\n"; // formatowanie wyglądu wpisu
  15.         }
  16.   }
  17.  
  18.   function formularz($id=0, $osoba='', $wpis='', $tryb='dod')
  19.   {
  20. ?>
  21.  
  22. <br />
  23. <br />
  24. <form method="post" action="ksiega.php?m=<?php echo $tryb;?>">
  25.   <table>
  26.    <tr><td>Osoba:</td><td>
  27.    <input type="text" name="osoba" value="<?php echo $osoba;?>" /></td></tr>
  28.    <tr><td>Wpis:</td><td>
  29.    <textarea name="wpis" cols="45" rows="4"><?php echo $wpis;?></textarea>
  30.    </td></tr>
  31.   </table>
  32.   <input type="hidden" value="<?php echo $id;?>" name="id"/>
  33.   <input type="submit" value="Wyślij"/> 
  34. </form>
  35. <br />
  36. <hr />
[PHP] pobierz, plaintext


Od czego by tu zacząć?...
Próbuję go ugryźć. Już mniej więcej wiem, co w trawie piszczy.
Kod oparty jest na trybach, które służą m.in. dodawaniu i wczytywaniu treści bd.

*modyfikowałem tabelę w bd pod kątem blob;
*modyfikowałem formularz pod kątem multipart;
*modyfikowałem cały skrypt pod kątem $zdjecie [lub] 'zdjecie', itp.

opierałem się przy tym na modyfikacji:

[PHP] pobierz, plaintext 
  1. $zdjecie = addslashes (fread(fopen)($_POST ['zdjecie'])));
[PHP] pobierz, plaintext



Niestety błąd serwera.

Mam w związku z tym takie pytanie: czy macie jakieś materiały przybliżające mnie choć o krok w stronę poznania interesującego mnie rozwiązania? Czy pliki binarne potrzebują jakiegoś specjalnego zdefiniowania?





kayman
13.01.2016, 09:24:27
http://php.net/manual/en/reserved.variables.files.php
Pyton_000
13.01.2016, 09:27:03
Nie przechowuj plików w bazie...
Lepiej napisz wszystko od początku, bo ten skrypt wygląda jak by go ktoś przez maszynkę do mielenia mięsa puścił.
nospor
13.01.2016, 10:07:42
Ten skrypt jest poprostu STARY. Uzywa przestarzalych metod, jest totalnie podatny na wszelkiego rodzaju ataki. Uczac sie na takim czyms, nabierasz na dzien dobry zlych nawykow.
szachmat
15.02.2016, 10:07:40
Dzięki wielkie za podpowiedzi.
Podpowiedź z $_FILES była dobra. Dzięki wielkie.
Co do przechowywanie zdjęć w BD zgoda, ale będę rozważał to przy kolejnym zadaniu (o ile nad tym nie spędzę całego życia, jak doktorek z Dżumy Camusa).
Chciałbym wyrobić sobie jakikolwiek inny nawyk poza // albp /*??*/

Tym razem przedstawiam moda z komentarzami.

MsQL ERROR na ksiega.php i function.php

ksiega.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   session_start();
  3.   include ('config.php');
  4.   include ('function.php');
  5.  
  6.     $tryby_ukryte = array('dod','update','del','wyloguj');
  7.   $wyswietl=true;
  8.   if (in_array($_GET['m'],$tryby_ukryte)) $wyswietl=false;
  9.  
  10.   if ($wyswietl) echo '<h1> Księga Gości </h1>';
  11.  
  12.     if ($_SESSION['admin']=='zalogowany' || ( $_POST['login']==$log_admin && $_POST['password']==$pass_admin))
  13.   {
  14.         if ($wyswietl) echo '<h2>Witaj '.$log_admin.'! - <a href="ksiega.php?m=wyloguj">Wyloguj</a></h2>';
  15.            $_SESSION['admin']='zalogowany';
  16.          $admin=true;
  17.   } else if($_GET['m']!='wyloguj') 
  18.   {
  19.            if ($wyswietl) echo '<a href="ksiega.php?m=login">Zaloguj</a><br />';
  20.   }
  21.  
  22.     $cid = mysql_connect($dbhost, $dbuser, $dbpass) or die (mysql_error()); 
  23.   mysql_select_db($dbname) or die(mysql_error());
  24.  
  25.    if(!$wyswietl)
  26.   {
  27. 	  /*tryb ładowania do bazy danych, tryb ładowania, jak się robi || na klawiaturze??*/
  28.    if (($_GET['m']=='dod' || $_GET['m']=='update' ) && !empty($_POST['osoba']) && !empty($_POST['wpis'] && !empty($_FILES['zdjecie'])) //prawda jeśli, dopisałem $_FILES
  29.    {
  30.          $data = mktime();  
  31.          $osoba = addslashes(nl2br(htmlentities($_POST['osoba']))); 
  32.          $wpis = addslashes(nl2br(htmlentities($_POST['wpis'])));
  33. 		 $zdjecie = addslashes(fread(fopen($_FILES['zdjecie']))); //dopisałem linijkę, zabezpieczenie, czytanie długości, otwieranie
  34.    }  
  35.      /*tryb ładowania 2 ??? zapytanie do sgl czy zostało dodane*/
  36.    if ($_GET['m']=='dod' && !empty($osoba) && !empty($wpis)) && !empty($zdjecie) //dodałem && !empty($zdjecie)
  37.    {    
  38.          $sql = 'INSERT INTO '.$tabela.' (id,data,osoba,wpis) VALUES (NULL,'.$data.', \''.$osoba.'\', \''.$wpis.'\', \''.$zdjecie.'\')'; //dodałem \''.$zdjecie.'\'
  39.          mysql_query($sql) or die (mysql_error());
  40.    }  
  41.      /*tryb ładowania 3*/
  42.    if ($_GET['m']=='update' && !empty($osoba) && !empty($wpis) && !empty($_POST['id'] !empty($_FILES['zdjecie'])) //dodałem !empty($_FILES['zdjecie']) 
  43.    {
  44.                 $sql = 'UPDATE '.$tabela.' SET osoba=\''.$osoba.'\', wpis=\''.$wpis.'\', zdjecie=\''.$zdjecie.'\' WHERE id='.(int)$_POST['id']; //dodałem zdjecie=\''.$zdjecie.'\'
  45.          mysql_query ($sql) or die (mysql_error());
  46.    }
  47.    if ($_GET['m']=='del' && $admin && is_numeric($_GET['id']))
  48.    {
  49.                 $sql = 'DELETE FROM '.$tabela.' WHERE id='.$_GET['id'];
  50.          mysql_query ($sql) or die(mysql_error());
  51.    }
  52.    if ($_GET['m']=='wyloguj')
  53.    {
  54.                 unset($_SESSION['admin']);
  55.    }
  56.    header('Location: ksiega.php');
  57.   }
  58.  
  59.     if ($_GET['m']=='edit' && $admin && is_numeric($_GET['id']))
  60.   {
  61.                 echo '<h3>Edycja</h3>';
  62.                 $sql = 'SELECT id, osoba, wpis FROM '.$tabela.' WHERE id='.$_GET['id'];
  63.          $result = mysql_query ($sql) or die(mysql_error());
  64.          $row = mysql_fetch_assoc($result);
  65.          formularz($row['id'],$row['osoba'],$row['wpis'],$row['zdjecie']'update'); // dodałem $row['zdjecie']
  66.   }
  67.  
  68.     if ($wyswietl && $_GET['m']!='edit')
  69.   {
  70.                 view($tabela,$admin);
  71.                 formularz();
  72.   }  
  73.  
  74.   if ($_GET['m']=='login')
  75.   {
  76.                 zaloguj();
  77.   }
  78. ?>
[PHP] pobierz, plaintext


function.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   function view($tabela,$admin)
  3.   {
  4.         $sql = 'SELECT id, data, osoba, wpis, zdjecie FROM '.$tabela.' ORDER BY data DESC'; //dodałem zdjecie
  5.         $result = mysql_query ($sql) or die(mysql_error());
  6.         $ile = mysql_num_rows($result);
  7.  
  8.         echo 'W bazie jest '.$ile. ' wpisów.';
  9.  
  10.         while ($row = mysql_fetch_assoc ($result)) //while - pętla "podczas gdy", assoc - zapisane wiersze wyników w tab. asoc., $result - wyniki
  11.         { 
  12.                  echo //wyswietl
  13. 				 '<dl><dt>'.
  14. 				 date('d M y H:i.s',$row['data']).
  15. 				 ($row['zdjecie']) // dodałem linie >> TU MOŻE BYĆ BŁĄD
  16. 				 '<dd><b>'.
  17. 				 stripslashes($row['wpis']). //usuwa "/", funckja ochronna. Nie jest rekurencyjny. Jeśli chcesz zastosować tę funkcję do wielowymiarowej tablicy, należy skorzystać z funkcji rekurencyjnej
  18. 				 ', </b> </dd> <i>'.
  19. 				 $row['osoba']. //wiersz, czemu tu nie ma zabezpieczenia?
  20. 				 '</i>';
  21.           if ($admin) echo ' - <a href="ksiega.php?m=edit&amp;id='.$row['id'].'">Edytuj</a> | <a href="ksiega.php?m=del&amp;id='.$row['id'].'">Usuń</a>';
  22.                 echo '</dt></dl>'."\n"; // formatowanie wyglądu wpisu
  23.         }
  24.   }
  25.  
  26.   function formularz($id=0, $osoba='', $wpis='', $zdjecie='', $tryb='dod')
  27.   {
  28. ?>
  29.  
  30. <br />
  31. <br />
  32. <form enctype="multipart/form-data" method="post" action="ksiega.php?m=<?php echo $tryb;?>">
  33.   <table>
  34.    <tr><td>Osoba:</td><td>
  35.    <input type="text" name="osoba" value="<?php echo $osoba;?>" /></td></tr>
  36.    <tr><td>Wpis:</td><td>
  37.    <textarea name="wpis" cols="45" rows="4"><?php echo $wpis;?></textarea>
  38.    <tr><td>Zdjęcie:</td><td>
  39.    <textarea type="blob", name="zdjecie"<?php echo $zdjecie;?>  <!-- dodałem całą linijkę TU MA BYĆ FILE CZY BLOB??-->
  40.    </td></tr>
  41.   </table>
  42.   <input type="hidden" value="<?php echo $id;?>" name="id"/>
  43.   <input type="submit" value="Wyślij"/> 
  44. </form>
  45. <br />
  46. <hr />
  47.  
  48. <?php 
  49.   }
  50.  
  51.   function zaloguj()
  52.   {
  53. ?>
  54. <br />
  55. <br />
  56. <form method="post" action="ksiega.php">
  57.   <table>
  58.    <tr><td>Login:</td><td><input type="text" name="login" /></td></tr>
  59.    <tr><td>Password:</td><td><input type="password" name="password" /></td></tr>
  60.   </table>
  61.   <input type="submit" value="Wyślij"/> 
  62. </form>
  63. <br />
  64. <hr />
  65. <?php 
  66.   }
  67. ?>
[PHP] pobierz, plaintext


Nie wiem, może coś nie tak z GET, teraz temu będę się przyglądał.

viking
15.02.2016, 10:23:00
Zanim jeszcze bardziej w to nie zabrnąłeś przejdź na PDO albo chociaż mysqli. Twoje addslashes + htmlentities niekonieczne jest bezpieczne na wszystkie ataki mysql. Jakim zabezpieczeniem jest fread/fopen? Sprawdzaj typ mime.
WHERE id='.$_GET['id']; - aha. Daj chociaż rzutowanie na int.

Bardziej nowoczesna księga gości.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.