Witam, piszę sobie formularz rejestracyjny w PHP z wyszczególnianiem niewypełnionych pól. Kod może trochę nieoptymalny, ale działałby, gdyby klasa nie tworzyła się za każdym razem po przesłaniu formularza. Jest to jakoś do obejścia, czy raczej powinienem sobie dać spokój, bo w PHP się tego nie stworzy? Dodam, że mam inny pisany kiedyś z nudów kod, który działa, ale zajmuje mi 4x tyle miejsca i sam się w nim gubię

A działanie tego kodu jest takie, że jak nacisnę "rejestruj", wszystkie pola dostaję na niebiesko z hasłem "proszę uzupełnić". I nigdy nie udaje mi się go wysłać. Z pewnością działałby, gdybym odwoływał się bezpośrednio do zmiennych z $_POST, ale wolę tego unikać, bo czytałem jakiś artykuł o atakach XSS gdzie coś było, że tworzy to lukę dla takiego ataku.

[PHP] pobierz, plaintext 
<?php
 
 
class rej{
    var $wyslano;
    var $ile = 9; //ilość pól formularza-1 - potrzebne do pętli
    var $form = array();
    var $opisy = array();
 
 
    public function  __construct($form_table, $wyslano) {
        for ($i=0;$i<$this->ile;$i++){
            $this->form[$i] = mysql_real_escape_string(htmlspecialchars(trim($form_table)));
        }
        $this->wyslano = mysql_real_escape_string(htmlspecialchars($wyslano));
    }
 
 
 
 
    private function input($value, $name, $style, $opis){
            echo '<input type="text" maxlength="100" name="'.$name.'" value="'.$value.'" style="'.$style.'" /> '.$opis;
    }
 
 
    private function przypiszOpisy(){
           $this->opisy[0] = 'Login';
           $this->opisy[1] = 'Hasło';
           $this->opisy[2] = 'Powtórz hasło';
           $this->opisy[3] = 'E-mail';
           $this->opisy[4] = 'Imię';
           $this->opisy[5] = 'Nazwisko';
           $this->opisy[6] = 'Ulica i nr domu/mieszkania';
           $this->opisy[7] = 'Kod pocztowy';
           $this->opisy[8] = 'Miasto';
           $this->opisy[9] = 'Telefon kontaktowy';
    }
 
 
    public function formularz(){
        $this->przypiszOpisy();
        echo '<table>';
        echo '<form action="'.$_SERVER["REQUEST_URI"].'" method=POST>';
 
        for ($i=0;$i<$this->ile;$i++){
            if (!empty($this->wyslano) && empty($this->form[$i])){ //pusty
                echo '<tr><td>';
                $this->input($this->form[$i], 'form["'.$i.'"]', 'background-color: lightsteelblue;', $this->opis[$i].' - proszę uzupełnić');
                echo '</td></tr>';
            }else{
                echo '<tr><td>';
                $this->input($this->form[$i], 'form["'.$i.'"]', '', $this->opis[$i]);
                echo '</td></tr>';
            }
        }
 
        echo '<input type=hidden name=wyslano value=tak />';
        echo '<tr><td><input type=submit value=Zarejestruj /></td></tr>';
        echo '</form>';
        echo '</table>';
    }
 
    public function czyWypelniono(){
        if (!empty($this->form[0]) && !empty($this->form[1]) && !empty($this->form[2]) && !empty($this->form[3]) &&
                !empty($this->form[4]) && !empty($this->form[5]) && !empty($this->form[6]) && !empty($this->form[7]) &&
                        !empty($this->form[8]) && !empty($this->form[9])){
            return true;
        }else{
            return false;
        }
    }
 
 
}//end class rej
 
$r = new rej($_POST["form"],$_POST["wyslano"]);
if ($r->czyWypelniono()){
    echo '<h1>ZAPIS,  WYPELNOINO</h1>';
}else{
    $r->formularz();
}
 
 
 
?>
 
[PHP] pobierz, plaintext 

A po co robisz formularz jako osobną klasę, którą i tak nigdy do niczego już nie wykorzystasz? Zrób normalnie HTMl + PHP bez takich zabaw.

Nazwanie tego tworu klasą to duże niedopowiedzenie brakuje tu po prostu mnóstwa rzeczy (np. brak sprawdzania czy formularz został wysłany, przecież to ciebie powinno zasypać warningami/noticeami). Dodatko poczytaj sobie o xss i jak działa, a nie
Zacznę więc od początku:

[PHP] pobierz, plaintext 
$r = new rej($_POST["form"],$_POST["wyslano"]);
[PHP] pobierz, plaintext 

Jeżeli używasz posta powinieneś najpierw sprawdzić czy zmienne zostały ustawione (czyli wysłany formularz funkcja isset);

[PHP] pobierz, plaintext 
var $wyslano;
var $ile = 9; //ilość pól formularza-1 - potrzebne do pętli
var $form = array();
var $opisy = array();
[PHP] pobierz, plaintext 

od php 5 nie powinno się używać var tylko public/protected/private

[PHP] pobierz, plaintext 
public function __construct($form_table, $wyslano) {
for ($i=0;$i<$this->ile;$i++){
$this->form[$i] = mysql_real_escape_string(htmlspecialchars(trim($form_table)));
}
$this->wyslano = mysql_real_escape_string(htmlspecialchars($wyslano));
}
[PHP] pobierz, plaintext 

Wytłumacz mi czemu w tym miejscu ustawiasz htmlspecialchars i mysql_real_escape, jeżeli masz zapisać w bazie to dopiero tam dawaj mysql_real_escape, a htmlspecialchars dawaj tylko przy wyświetlaniu (ba obie funkcje używasz na tablicy).
Ten for jaki masz działa tak czy jest ustawiona tablica czy nie przypisz całą tablicę $_POST['form'] do zmiennej $this->form[$i], czyli każdy element tablicy $this->form ma teraz całą tablicę $_POST['form']
Nie jestem pewien co htmlspecialchars/mysql_escape zrobi jak mu się poda tablicę zamiast stringa chyba false albo pusty string, ale nie chcę mi się sprawdzać.

[PHP] pobierz, plaintext 
$this->wyslano = mysql_real_escape_string(htmlspecialchars($wyslano));
[PHP] pobierz, plaintext 

No tu mnie zagiąłeś, powiedz mi czemu to ma służyć? wyświetlasz/zapisujesz to gdzieś?

[PHP] pobierz, plaintext 
if ($r->czyWypelniono()){
 
public function czyWypelniono(){
if (!empty($this->form[0]) && !empty($this->form[1]) && !empty($this->form[2]) && !empty($this->form[3]) &&
!empty($this->form[4]) && !empty($this->form[5]) && !empty($this->form[6]) && !empty($this->form[7]) &&
!empty($this->form[8]) && !empty($this->form[9])){
return true;
}else{
return false;
}
}
[PHP] pobierz, plaintext 

W tym momencie jeżeli coś było przesłane (cokolwiek) to zwróci true. Zamiast całej te sieczki można było zrobić

[PHP] pobierz, plaintext 
for($i = 0;$i<=$this->ile;$i++){
   if(empty($this->form[$i])){
     return false;
   }
   return true;
}
[PHP] pobierz, plaintext 

Formularz ma masę błędów składniowych typu

[PHP] pobierz, plaintext 
public function formularz(){
$this->przypiszOpisy();
echo '<table>';
echo '<form action="'.$_SERVER["REQUEST_URI"].'" method=POST>'; //a gdzie "" przy post? '<form action="'.$_SERVER["REQUEST_URI"].'" method="post">
 
for ($i=0;$i<$this->ile;$i++){
if (!empty($this->wyslano) && empty($this->form[$i])){ //pusty // jeżeli htmlspecialchars bądź mysql_real_escape przy dostaniu tablicy zwraca false/pusty string to zawsze się to wykona po przesłaniu formularza
echo '<tr><td>';
$this->input($this->form[$i], 'form["'.$i.'"]', 'background-color: lightsteelblue;', $this->opis[$i].' - proszę uzupełnić'); // nadawaj klasy inputom, a nie ręczne style!
echo '</td></tr>';
}else{~//to będzie tylko jeżeli form nie został wysłany
echo '<tr><td>';
$this->input($this->form[$i], 'form["'.$i.'"]', '', $this->opis[$i]);
echo '</td></tr>';
}
}
 
echo '<input type=hidden name=wyslano value=tak />'; //a cudzysłowie to kto pokasował?
echo '<tr><td><input type=submit value=Zarejestruj /></td></tr>';//jak wyżej
echo '</form>';
echo '</table>';
}
[PHP] pobierz, plaintext 

Czyli co masz zrobić:
-poczytaj o klasach
-naucz się html

Okej, rozumiem, że całość do przepisania


Widocznie "słabo" poczytałem, tekst był po angielsku, więc może źle zrozumiałem, że każde odwołanie do "surowej" zmiennej z POST/GET stwarza lukę do xss. To mi ułatwia sprawę w takim razie.

Ogólnie dzięki za zainteresowanie, przerobię go jak należy i powinno działać.

xss jest groźny tylko i wyłącznie przy wyświetlaniu czegoś na stronie, dlatego przy wyświetlaniu danych od użytkowników warto dać htmlspecialchars aby nie mogli odpalać js/html. Zawsze jest lepiej mieć czystą wersję w bazie (szczególnie jeżeli to może być edytowane unikamy wtedy bawienia się z hmlentitydecodem). Więc jeszcze raz dawaj specialcharsa tylko przy wyświetlaniu ba stronie, a przy zapisie do bazy dawaj mysl_real_escape. I zawsze sprawdzaj przy formularzach czy wymagane pola zostały ustawione