Witam

Przyznam się, że nie wiem jak prawidłowo nazwać temat..

Mam formularz:

[HTML] pobierz, plaintext 
<form method="post" action="">
	<input id="add_tytul" name="autor" size="40" maxlength="255">
		<br>
	<textarea id="add_tresc" name="tresc" rows="70" cols="100" value="Treść"></textarea>
		<br>
	<input type="submit" name="submit" value="Dodaj">
</form>
[HTML] pobierz, plaintext 

I teraz próbuje napisać funkcje (staram się pisać w miare umiejętności jak najwięcej funkcji, by trzymać logike oddzielnie od htmla) która sprawdzi czy użytkownik jest zalogowany, jeżeli true to pole input autor powinno być nie aktywne a value jako login, natomiast jeżeli użytkownij jest nie zalogowany, to input aktywny, value puste i oczywiście warunek że pole musi zostać wypełnione.

Warunek na wypełnienie pola jest względnie prosty oczywiście

[PHP] pobierz, plaintext 
if (!$_POST['autor']){
 echo 'Autor jest wymagany';
 exit();
 }
[PHP] pobierz, plaintext 

Funkcja jaką napisałem to:

[PHP] pobierz, plaintext 
function autor($autor){
if(user::isLogged()){
	$user = user::getData('', ''); // pobiera informacje o użytkowniku
	$autor = $user[login];
	}
	else {
	$autor = $_POST['autor']
}
[PHP] pobierz, plaintext 

Czyli znowu bez fajerwerków, proste warunki. Jednak problem mam z wyłączeniem pola input 'autor'.

Staram się ominąć sytuacje:

[PHP] pobierz, plaintext 
function autor($autor){
if(user::isLogged()){
	$user = user::getData('', ''); // pobiera informacje o użytkowniku
	$autor = $user[login];
echo'
<form method="post" action="">
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="'.$autor.'" disabled>
		<br>
	<textarea id="add_tresc" name="tresc" rows="70" cols="100" value="Treść"></textarea>
		<br>
	<input type="submit" name="submit" value="Dodaj">
</form>';
 
	}
	else {
	$autor = $_POST['autor']
echo'
<form method="post" action="">
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="Twój nick">
		<br>
	<textarea id="add_tresc" name="tresc" rows="70" cols="100" value="Treść"></textarea>
		<br>
	<input type="submit" name="submit" value="Dodaj">
</form>';
 
}
[PHP] pobierz, plaintext 

Przyznam się, że jestem samoukiem, uczę się głównie z manuala oraz analizuje skrypty pobierane z internetu, jednak nie spotkałem takiego problemu, który zapewne jest banalny.

Czemu IFem uzalezniasz generowanie calego FORMa? Przeciez interesuje cie TYLKO jedno pole, wiec IFem uzalezniaj generowanie tylko tego jednego pola a nie calego forma...

Mówimy o czymś takim?

[PHP] pobierz, plaintext 
function autor($autor){
if(user::isLogged()){
	$user = user::getData('', ''); // pobiera informacje o użytkowniku
	$autor = $user[login];
echo'
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="'.$autor.'" disabled>
';
 
	}
	else {
	$autor = $_POST['autor']
echo'
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="Twój nick">
';
}
[PHP] pobierz, plaintext 

Wlaśnie na trafiłem w internecie na pewne rozwiązanie i stworzyłem coś takiego:

[PHP] pobierz, plaintext 
function author(){
if(user::isLogged()){
	$user = user::getData('', '');
	$autor = $user[login];
	document.comment.autor.disabled=true;
	document.comment.autor.value="$user[login]";
	}
	else {
	$autor = $_POST['autor']
	document.comment.autor.disabled=false;
	document.comment.autor.value="Wpisz nick";
}
[PHP] pobierz, plaintext 

Pierwszy kod: tak, wlasnie o czyms takim mowimy
Drugi kod: chyba coś ci sie pomylilo z js

ps: poza tym nie ma sensu robic pola input disabled... poprostu wywal inputa a w to miejsce wyswietlaj poprostu login i juz

Generalnie działa, jednak gdy pole input jest disabled to nie wysyła jego wartości do POST = nie dodaje rekordu do bazy. Mogę to inaczej obejść?

Wywalić input ok, tlyko problem taki potem mam, pokaże kod:

[PHP] pobierz, plaintext 
 if(isset($_POST['submit']))
  {
 
 
 
 
			$stmt = $baza -> prepare('INSERT INTO `comments` (`autor`, `data`, `tresc`, `art_id`)	VALUES (
				:autor,
				:dtime,
				:tresc,
				:newsid)');
 
			$stmt -> bindValue(':autor', $_POST['autor'], PDO::PARAM_STR);
			$stmt -> bindValue(':dtime', date('Y-m-d H:i:s'), PDO::PARAM_INT);
			$stmt -> bindValue(':tresc', $_POST['tresc'], PDO::PARAM_STR);	
			$stmt -> bindValue(':newsid', $newsid, PDO::PARAM_STR);
 
 
			$ilosc = $stmt -> execute();
			if($ilosc > 0)
			{
				echo 'Dodano: '.$ilosc.' rekordow';
				echo "<b>Dzięki, news został dodany! Zostaniesz przekierowany za dwie sekundy";
				echo "<meta http-equiv=Refresh content=2;url=java script:self.history.back();\>";
			}
			else
			{
				echo 'Wystapil blad podczas dodawania rekordow!';
			}
 
 
 
 
 
 
 
 
 
 
 
  }
  else
  {
      echo'<br>
 
      <h4>Dodaj komentarz</h4>
 
 
 
<form method="post" action="">';
autor();
echo'
		<br>
	<textarea id="add_tresc" name="tresc" rows="70" cols="100" value="Treść"></textarea>
		<br>
	<input type="submit" name="submit" value="Dodaj">
</form>';
 
}
[PHP] pobierz, plaintext 

Jak wysłać autora, jeżeli nie input. Mogę wstawić zmienna, zależną od tej funkcji, tylko nie mam pomysłu i tak jak to rozwiązać.

No i prawidlowo, ze nie wysyla.

W pierwszym kodzie dane z posta odbierales tak:
if(user::isLogged()){
$user = user::getData('', ''); // pobiera informacje o użytkowniku
$autor = $user[login];
}
else {
$autor = $_POST['autor']
}

I tej wersji masz sie trzymac.

No ok, tylko zależy mi na tym, że jak nie zalogowany to musi (ma możliwość) wpisać nick, jak zalogowany to wysyła login. Chce to zrobić najprostszą możliwą drogą, bez 10 warunków itp.

kod funkcji wygląda tak:

[PHP] pobierz, plaintext 
function autor(){
if(user::isLogged()){
	$user = user::getData('', '');
	$autor = $user[login];
echo'
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="'.$autor.'" disabled>
';
 
	}
	else {
	$autor = $_POST['autor'];
echo'
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="Twój nick">
';
}}
[PHP] pobierz, plaintext 

To:

[PHP] pobierz, plaintext 
$stmt -> bindValue(':autor', $_POST['autor'], PDO::PARAM_STR);
[PHP] pobierz, plaintext 

zamieniłem na:

[PHP] pobierz, plaintext 
$stmt -> bindValue(':autor', $autor, PDO::PARAM_STR);
[PHP] pobierz, plaintext 

Jednak nadal coś nie do końca działa. Spróbuje ustawić może global $autor? chociaż nie wydaje mi się.

Nie mozesz wierzyc danym, ktore wysyla uzytkownik... nawet jesli ustawissz pole na disabled czy hidden czy cokolwiek, to user moze je bez problemu spreparowac i ustawic wlasne dane. Dlatego tez, jak user jest zalogowany, to masz jego login brac z php, a nie z tego co wysle ci user w przegladarce.

Zas to ze nie dodaje ci sie teraz do bazy, to pewnie gdzies tracisz te zmienną $autor. Nie wiem gdzie, bo pokazujesz urywki kodu w zaden sposob ze sobą nie powiązane.

Jesli
$autor = $user[login];
i
$autor = $_POST['autor'];
generujesz w funkcji autor() to logiczne ze poza tą funkcją zmienna ta nie bedzie widoczna - to są podstawy zasięgu zmiennych w php

[PHP] pobierz, plaintext 
function autor(){
	global $autor;
if(user::isLogged()){
	$user = user::getData('', '');
	$autor = $user[login];
echo'
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="'.$autor.'" disabled>
';
 
	}
	else {
	$autor = $_POST['autor'];
echo'
	<input id="add_tytul" name="autor" size="40" maxlength="255" value="Twój nick">
';
}}
[PHP] pobierz, plaintext 

Echo input gdy zalogowany wyświetlam tylko dla informacji użytkownika, że faktycznie jest on zalogowany i jaki będzie podpis.

Kod na stronie:

[PHP] pobierz, plaintext 
  if(isset($_POST['submit']))
  {
 
 
 
 
			$stmt = $baza -> prepare('INSERT INTO `comments` (`autor`, `data`, `tresc`, `art_id`)	VALUES (
				:autor,
				:dtime,
				:tresc,
				:newsid)');
 
			$stmt -> bindValue(':autor', $autor, PDO::PARAM_STR);
			$stmt -> bindValue(':dtime', date('Y-m-d H:i:s'), PDO::PARAM_INT);
			$stmt -> bindValue(':tresc', $_POST['tresc'], PDO::PARAM_STR);	
			$stmt -> bindValue(':newsid', $newsid, PDO::PARAM_STR); // to jest zmienna ustalona szybciej, pobrana jako id wiadomości (obecny kod dodaje komentarz do ów wiadomości)
 
 
			$ilosc = $stmt -> execute();
			if($ilosc > 0)
			{
				echo 'Dodano: '.$ilosc.' rekordow';
				echo "<b>Dzięki, news został dodany! Zostaniesz przekierowany za dwie sekundy";
				echo "<meta http-equiv=Refresh content=2;url=java script:self.history.back();\>";
			}
			else
			{
				echo 'Wystapil blad podczas dodawania rekordow!';
			}
 
 
 
 
 
 
 
 
 
 
 
  }
  else
  {
      echo'<br>
 
      <h4>Dodaj komentarz</h4>
 
 
 
<form method="post" action="">';
autor();
echo'
		<br>
	<textarea id="add_tresc" name="tresc" rows="70" cols="100" value="Treść"></textarea>
		<br>
	<input type="submit" name="submit" value="Dodaj">
</form>';
 
}
[PHP] pobierz, plaintext 

Jak inaczej przekazać tą zmienną, czy na prawdę jedynym rozwiązaniem jest wstawianie 'if' z tej funkcji w dokumencie? wówczas działa prawidłowo.

A co w tym zlego, ze uzyjesz jeszcze raz Ifa?
Od biedy pozostaje ci global
Od innej biedy funkcja autor() moze zwracac zmienna $autor przez return a potem ty ją bedziesz odbierał

Teoretycznie nic złego. Praktycznie, to zaraz będę przerabiać swój strukturalny kod, gdyż zaczyna mi się rozrastać, na trochę obiektowy, na tyle na ile potrafię. To z czym mam problem teraz próbuje rozwiązać w celu edukacyjnym, ten przykład będzie wykorzystany może ze 2-3 razy na całej stronie, forum itp., ale np. zaraz będe chciał zrobić wyświetlenie krótkich informacji różnych rzeczach i zacznie mi się robić problem pewnie.

Coś takiego, ale nie działa, wyskakuje błąd, że nie dodało rekordu - nadal nie pobiera $autor.
Próbuje z global i return na różne spoboy i nie działa po prostu

[PHP] pobierz, plaintext 
function autor(){
 
 
	if(user::isLogged()){
		$user = user::getData('', '');
		$autor = $user[login];
		echo'
			<input id="add_tytul" name="autor" size="40" maxlength="255" value="'.$autor.'" disabled>
		';
 
 
		}
		else {
		$autor = $_POST['autor'];
		echo'
			<input id="add_tytul" name="autor" size="40" maxlength="255" value="Twój nick">
		';
}
return $autor;
}
[PHP] pobierz, plaintext 

No juz pisalem, ze jesli funkcja bedzie zwracac $autor, to musisz wynik tej funkcji odebrac... Odbierasz? Jak nie, to zapraszam do manuala do dzialu funkcje.

edit: z innego kodu widze, ze funkcje autor() wywolujesz na zupelnie innym poziomie niz zapis do bazy, wiec to tak czy siak ci sie nie uda.... Musisz zrobic dodatkowego Ifa przed zapisem i juz.

Już widzę w czym jest problem. Musiałbym przerobić całą strukturę aby to działało tak jak chce. Wyciągnąłem troche nauki z tej lekcji, na przyszłość będę wiedział w czym problem. Zastosuje po prostu if bez zbędnych ceregieli. Dziękuje za pomoc.

$stmt -> bindValue(':dtime', date('Y-m-d H:i:s'), PDO::PARAM_INT);
A data to ci sie poprawnie dodaje? Przeciez wynikiem date() jest tekst a nie liczba

$stmt -> bindValue(':newsid', $newsid, PDO::PARAM_STR)
zas newsid to raczej jest liczba nie tekst

Z tego co pamiętam to tak, ale zmieniłem już w razie co, podziękował. Przy okazji, z tego co pamiętam to funkcja NOW() nie chciała mi działać.. nie pamiętam czemu

Bo pewnie źle jej uzyles Pokaz jak robiles, to ci powiemy czemu nie dzialala

Miałem: $stmt -> bindValue(':dtime', NOW(), PDO::PARAM_INT);

a pewnie powinienem mieć:

$data = NOW();
$stmt -> bindValue(':dtime', $data, PDO::PARAM_INT);

Chociaż to także chyba nie działało.. już nie pamiętam.


Jeszcze pytanie, jak stosować mysql_real_escape_string w PDO,


$stmt -> bindValue(':tresc', mysql_real_escape_string($_POST['tresc']), PDO::PARAM_STR);

To ma prawo działać?

NOW() to jest funkcja mysql i ma byc ona wywolywana w zapytaniu mysql a nie bindowana w php....

Pytanie, po co mysql_real_escape_string w PDO?

Gdzieś kiedyś znalazłem przykładowo skrypt (nie pamiętam składni), który robił prostą rzecz - za każdym razem wyświetlał okno którego nie można było zamknąć.
Wystarczyło wpisać go gdzieś w pole input, np. nazwa użytkownika przy rejestracji, i jak kod nie sprawdzał kodu pod tym względem to po prostu strona się sypała..

Albo wstawi mi ktoś div o szerokości 1000px w i zostanie to wyświetlone gdzieś gdzie akurat nie mam stałem szerokości ustalonej - zacznie się sypać.

Czy źle kombinuje?


Chociaż w sumie klasa bbcode fajnie rozwiązuje problem z html.. a co z javascript?

Nie potrafię tego zrozumieć. Że okno wpisywało się gdzieś w input, kod sprawdza kod?

Ale co? To po to wlasnie chciales uzyc mysql_escape_string?? To przeciez nie do tego sluzy.... To sluzy do bezblednego wstawiania danych do bazy. I uzywajac PDO masz juz tego nie uzywac, bo PDO samo tego pilnuje.

Zas to co opisales to jest atak XSS. zeby sie przed nim zabezpieczeac to
albo filtrowac dane i sprawdzac czy pole zawiera dozwolone znaki czy nie
albo uzywac np. htmlspecialchars przed wyswietleniem danych, by zapobiec wykonaniu jakiegos kodu HTML, js ,css

Czyli htmlspecialchars, oki. http://forum.php.pl/lofiversion/index.php/t115269.html <- ta klasa rozwiązuje troche ten problem, a tam gdzie jej nie mam to musze htmlspecialchars, będe pamiętać

$autor = 'Twój nick'
$autor == 'Twój nick'
Odrozniaj PRZYPISANIE od POROWNANIA....