Chcę stworzyć prosty skrypt newsów. Napisałem pewien kod i chodzi o to, żebym chciał aby formularz dokonywał wpisu dopiero po wciśnięciu przycisku "wyslij". Jak można zauważyć tutaj mamy dodawanie od razu po wczytaniu strony. Co możecie zaproponować? Co można tu przerobić/dodać?

[PHP] pobierz, plaintext 
<?
include ('../dodatki/bonus.php');
 
polacz_baza();
 
echo "<h1>NEWSY - DODAWANIE I WYŚWIETLANIE</H1>";
echo '<form action="wiadomosci.php" method="post">
Tytuł wiadomości: <input type="text" name="tytul" /><br />
Treść wiadomości: <textarea></textarea><br />
Autor: <input type="text" name="autor" /><br />
<input type="submit" value="wyślij" />
</form>';
 
$tytul = $_POST['tytul'];
$text = $_POST['text'];
$autor = $_POST['autor'];
$data = date('Y-m-j');
 
//dodawanie danych do bazy
$zapytanie = "INSERT INTO newsy VALUES (NULL, '".$tytul."', '".$text."', '".$autor."', '".$data."')";
$result = mysql_query($zapytanie);
 
 
 
//wyświetlenie danych z bazy
$wynik = mysql_query("SELECT * FROM newsy");
	echo '<table border="1" width="700"><tr><td width="30">ID</td><td>Tytuł</td><td width="170">text</td><td>autor</td><td>data</td></tr>';
WHILE ($rekord = mysql_fetch_assoc ($wynik)) {
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
 
	echo '<tr><td width="30">'.$nrid.'</td><td>'.$tytul.'</td><td>'.$text.'<td>'.$autor.'</td><td>'.$data.'</td></tr>';
	}
echo '</table>';
 
?>
 
</body>
</html>
[PHP] pobierz, plaintext 

Zrób tak:

[PHP] pobierz, plaintext 
<?
include ('../dodatki/bonus.php');
 
polacz_baza();
 
echo "<h1>NEWSY - DODAWANIE I WYŚWIETLANIE</H1>";
echo '<form action="wiadomosci.php" method="post">
Tytuł wiadomości: <input type="text" name="tytul" /><br />
Treść wiadomości: <textarea></textarea><br />
Autor: <input type="text" name="autor" /><br />
<input type="submit" name="submit" value="wyślij" />
</form>';
 
$tytul = $_POST['tytul'];
$text = $_POST['text'];
$autor = $_POST['autor'];
$data = date('Y-m-j');
 
if (isset($_POST['submit'])) {
//dodawanie danych do bazy
$zapytanie = "INSERT INTO newsy VALUES (NULL, '".$tytul."', '".$text."', '".$autor."', '".$data."')";
$result = mysql_query($zapytanie);
}
 
 
//wyświetlenie danych z bazy
$wynik = mysql_query("SELECT * FROM newsy");
	echo '<table border="1" width="700"><tr><td width="30">ID</td><td>Tytuł</td><td width="170">text</td><td>autor</td><td>data</td></tr>';
WHILE ($rekord = mysql_fetch_assoc ($wynik)) {
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
 
	echo '<tr><td width="30">'.$nrid.'</td><td>'.$tytul.'</td><td>'.$text.'<td>'.$autor.'</td><td>'.$data.'</td></tr>';
	}
echo '</table>';
 
?>
 
</body>
</html>
[PHP] pobierz, plaintext 

Masz dużo błędów pozwalających na SQL Injection, dodatkowo Twój kod rzuca E_NOTICE.

Dopiero zaczynam, ze tak powiem tworzyć. O błędach sql injection słyszałem a co to e-notice?

[PHP] pobierz, plaintext 
    ini_set( 'display_errors', 'On' ); 
    error_reporting( E_ALL );
[PHP] pobierz, plaintext 

To błędy mniejszej wagi (nie krytyczne) ale warto tak pisać aby nie było i takich błędów.
Włączysz je powyższym kodem.

Koniecznie dodaj walidacje lub dodaj np. addslashes bo skrypt może Ci się rozlecieć gdy dodasz w treści cudzysłowie.
Pomijam SQL INJECTION, o którym już kolega wyżej wspomniał (newsy domyślam się, że i tak dodajesz Ty więc zabezpieczenia mogą iść na drugi plan).

A gdzie należy dodać ten kod php?

Gdzieś u góry, nad kodem właściwym.
Tylko umieść to tam na czas projektowania, potem usuń.

A mam takie pytanie. Znalazłem gdzieś pewien kod i zamieniłem pod moje potrzeby.

[PHP] pobierz, plaintext 
<?
include ('../meta.php');
include ('../dodatki/bonus.php');
polacz_baza();
 
echo "<h1>NEWSY - DODAWANIE I WYŚWIETLANIE</H1>";
echo '<form action="wiadomosci.php" method="post">
Tytuł wiadomości: <input type="text" name="tytul" /><br />
Treść wiadomości: <textarea name="text" cols="50" rows="10"></textarea><br />
Autor: <input type="text" name="autor" /><br />
 
<input type="submit" name="submit" value="wyślij" />
</form>';
 
$tytul = addslashes(trim($_POST['tytul']));
$text = addslashes(trim($_POST['text']));
$autor = addslashes(trim($_POST['autor']));
$data = addslashes(trim(date('Y-m-j')));
 
if (isset($_POST['submit'])) {
//dodawanie danych do bazy
$zapytanie = "INSERT INTO newsy VALUES (NULL, '".$tytul."', '".$text."', '".$autor."', '".$data."')";
$result = mysql_query($zapytanie);
}
 
if (isset($_GET['co']) && isset($_GET['id']) && $_GET['co'] == 'skasuj') {
$wynik = mysql_query("DELETE FROM newsy WHERE id = '".$_GET['id']."'");
 
} elseif (isset($_POST['co']) && $_POST['co'] == 'popraw') {
	if ($_POST['tytul'] && $_POST['text'] && $_POST['autor']) {
	$popraw = mysql_query("UPDATE newsy SET tytul = '".$_POST['tytul']."', text = '".$_POST['text']."', autor = '".$_POST['autor']."',  
	WHERE id = '".$_POST['id']."';");
	$wynik = mysql_query($popraw);
	}	
}
elseif (isset($_GET['co']) && $_GET['co'] == 'edytuj') {
$edycja = mysql_query("SELECT * FROM newsy WHERE id = '".$_GET['id']."';");
$rekord = mysql_fetch_assoc($edycja);
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
echo "<table border=\"1\">
<tr>
    <td width=\"120\"><form action=\"wiadomosci.php\" method=\"post\">
	nr id: ".$nrid."<input type=\"hidden\" name=\"co\" value=\"popraw\">
	<input type=\"hidden\" name=\"id\" value=\"".$nrid."\"><br /></td>
</tr><tr>	
    Tytuł:<input type=\"text\" name=\"nazwa\" value=\"".$tytul."\"><br /></td>
</tr><tr>
         <td width=\"120\">Treść wiadomości:<textarea name=\"text\" cols=\"50\" rows=\"10\">".$text."</textarea><br /></td>
</tr><tr>
         <td width=\"120\">Autor:<input type=\"number\" name=\"semestr\" min=\"0\" max=\"7\" value=\"".$autor."\"><br /></td>
</tr><tr>
         <td align=\"center\"><input type=\"submit\" value=\"popraw\"><br />
         </form></td>
</tr>
</table>";
}
 
 
 
 
$wynik = mysql_query("SELECT * FROM newsy ORDER BY id DESC;") or 
	die ("zle polecenie");
 
$ile = mysql_num_rows($wynik);
echo "Znaleziono: ".$ile." rekordów";
echo "<table border=\"1\" width=\"750\"><tr><td width=\"30\">Nr. ID</td><td width=\"100\">Tytuł</td><td width=\"40\">Text</td>
	<td width=\"10\">autor</td>
	<td width=\"120\">data</td>
	<td width=\"50\">Usuwanie
	</td><td>Edytowanie</td></tr>";
WHILE ($rekord = mysql_fetch_assoc ($wynik)) {
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
 
	echo "<tr><td width=\"30\">".$nrid."</td><td width=\"100\">".$tytul."</td>
	<td width=\"40\">".$text."</td>
	<td width=\"10\">".$autor."</td>
	<td width=\"120\">".$data."</td>
	<td><a href=\"wiadomosci.php?co=skasuj&amp;id=$nrid\">usuń</a></td><td>
	<a href=\"wiadomosci.php?co=edytuj&amp;id=$nrid\">edytuj</a></td></tr>";
	}
echo "</table>";
 
 
?>
 
</body>
</html>
[PHP] pobierz, plaintext 

Jak można zobaczyć w funkcji warunkowej odpowiedzialnej za edycje mamy formularz, W związku z tym mam pytanie czy i co mogę zobaczyć aby edycja odbywała w formularzu który znajduje sie u góry pliku?

Mam też tu taki problem, że coś nie dział poprawnie z aktualizowaniem danych. Owszem wyświetlaja sie w formularzu, ale po wcisnięciu przycisku popraw ... dane nie sa zamieniane.

Zamiast używać addslashes jak wspomniał ktoś wyżej, użyj mysql_real_escape_string - będzie bardziej odpowiednie.

A masz (lub ktośinny) jakiś pomysł co można zrobić aby aktualizacja danych działała poprawnie. Co do formularza się zastanawiałem czy do pierwszego nie zrobić funkcji, ale w takim przypadku nie miałbym mozliwości podstawienia konkretnych danych :/

Dodaj do zapytania UPDATE

Pokaże Ci to ewentualne błędy składni w zapytaniu, które Ci nie działa.

Choć wydaje mi się, że w ogóle akcja update nie jest wykonywana w Twoim przypadku.
Na który kod mamy patrzeć? Z pierwszego postu czy ten nowy? Z którym masz problem?

Na ten ostatni kod. Właśnie coś mi się wydaje, że problem właśnie tkwi w tym, że nie wywołuje UPDate'a.
Mam wrażenie, że nie działa właśnie funkcja warunkowa odpowiedzialna za aktualizację danych, bo mimo, że wstawiłem tam kod

[PHP] pobierz, plaintext 
or die(mysql_error());
[PHP] pobierz, plaintext 

to żadnych komunikatów nie wygląda a dane pozostają bez zmian.

if ($_POST['tytul'] && $_POST['text'] && $_POST['autor']) {
Przecież w formularzu edycyjnym nie masz pola o nazwie TYTUL ani AUTOR

Włacz sobie wyswietlanie wszystkich bledów a zaoszczedzisz sobie i nam masy czasy... Tu masz napisane jak to zrobic
Temat: Jak poprawnie zada pytanie

Włączyłem wyświetlanie błędów otrzymałem:

[HTML] pobierz, plaintext 
Notice: Undefined index: tytul in C:\Program Files (x86)\WebServ\httpd-users\praca\admin\wiadomosci.php on line 17
 
Notice: Undefined index: text in C:\Program Files (x86)\WebServ\httpd-users\praca\admin\wiadomosci.php on line 18
 
Notice: Undefined index: autor in C:\Program Files (x86)\WebServ\httpd-users\praca\admin\wiadomosci.php on line 19
[HTML] pobierz, plaintext 

Edycje poprawiłem i już działa. Tylko mam jeszcze pytanie gdzie tkwi błąd w tych linijkach oraz czy mogę coś zrobić aby dodawanie i edycja odbywała się w tym samym formularzu. Aktualny kod wygląda następująco:

[PHP] pobierz, plaintext 
<?php
      error_reporting(E_ALL);
      ini_set('display_errors','1');
include ('../meta.php');
include ('../dodatki/bonus.php');
polacz_baza();
$data = date('Y-m-j'); 
echo "<h1>NEWSY - DODAWANIE I WYŚWIETLANIE</H1>";
echo '<form action="wiadomosci.php" method="post">
Tytuł wiadomości: <input type="text" name="tytul" /><br />
Treść wiadomości: <textarea name="text" cols="50" rows="10"></textarea><br />
Autor: <input type="text" name="autor" /><br />
 
<input type="submit" name="submit" value="wyślij" />
</form>';
 
$tytul = mysql_real_escape_string(trim($_POST['tytul']));
$text = mysql_real_escape_string(trim($_POST['text']));
$autor = mysql_real_escape_string(trim($_POST['autor']));
$data = mysql_real_escape_string(trim(date('Y-m-j')));
 
if (isset($_POST['submit'])) {
//dodawanie danych do bazy
$zapytanie = "INSERT INTO newsy VALUES (NULL, '".$tytul."', '".$text."', '".$autor."', '".$data."')";
$result = mysql_query($zapytanie);
}
 
if (isset($_GET['co']) && isset($_GET['id']) && $_GET['co'] == 'skasuj') {
$wynik = mysql_query("DELETE FROM newsy WHERE id = '".$_GET['id']."'");
 
} elseif (isset($_POST['co']) && $_POST['co'] == 'popraw') {
	if ($_POST['tytul'] && $_POST['text'] && $_POST['autor']) {
	$popraw = mysql_query("UPDATE newsy SET tytul = '".$_POST['tytul']."', text = '".$_POST['text']."', autor = '".$_POST['autor']."'  
	WHERE id = '".$_POST['id']."';")
	or die(mysql_error());
	$wynik = mysql_query($popraw);
 
	}	
}
elseif (isset($_GET['co']) && $_GET['co'] == 'edytuj') {
$edycja = mysql_query("SELECT * FROM newsy WHERE id = '".$_GET['id']."';");
$rekord = mysql_fetch_assoc($edycja);
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
echo "<table border=\"1\">
<tr>
    <td width=\"120\"><form action=\"wiadomosci.php\" method=\"post\">
	nr id: ".$nrid."<input type=\"hidden\" name=\"co\" value=\"popraw\">
	<input type=\"hidden\" name=\"id\" value=\"".$nrid."\"><br /></td>
</tr><tr>	
    Tytuł:<input type=\"text\" name=\"tytul\" value=\"".$tytul."\"><br /></td>
</tr><tr>
         <td width=\"120\">Treść wiadomości:<textarea name=\"text\" cols=\"50\" rows=\"10\">".$text."</textarea><br /></td>
</tr><tr>
         <td width=\"120\">Autor:<input type=\"number\" name=\"autor\" min=\"0\" max=\"7\" value=\"".$autor."\"><br /></td>
</tr><tr>
		<td>Data: ".$data."</td>
</tr><tr>
         <td align=\"center\"><input type=\"submit\" value=\"popraw\"><br />
         </form></td>
</tr>
</table>";
}
 
 
 
 
$wynik = mysql_query("SELECT * FROM newsy ORDER BY id DESC;") or 
	die ("zle polecenie");
 
$ile = mysql_num_rows($wynik);
echo "Znaleziono: ".$ile." rekordów";
echo "<table border=\"1\" width=\"750\"><tr><td width=\"30\">Nr. ID</td><td width=\"100\">Tytuł</td><td width=\"400\">Text</td>
	<td width=\"10\">autor</td>
	<td>data</td>
	<td width=\"50\">Usuwanie
	</td><td>Edytowanie</td></tr>";
WHILE ($rekord = mysql_fetch_assoc ($wynik)) {
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
 
	echo "<tr><td width=\"30\">".$nrid."</td><td width=\"100\">".$tytul."</td>
	<td width=\"40\">".$text."</td>
	<td width=\"10\">".$autor."</td>
	<td width=\"120\">".$data."</td>
	<td><a href=\"wiadomosci.php?co=skasuj&amp;id=$nrid\">usuń</a></td><td>
	<a href=\"wiadomosci.php?co=edytuj&amp;id=$nrid\">edytuj</a></td></tr>";
	}
echo "</table>";
 
 
?>
 
</body>
</html>
[PHP] pobierz, plaintext 

Błąd tkwi gdzieś pomiędzy linijką 1 a 101

Ja rozumiem, ze błąd dotyczy linijek 17, 18 i 19 tylko nie wiem co tu jest żle bo wg mnie tak to powinno wygladać ;/

Widzę nie załapałeś aluzji... No dobrze, napiszę wprost:
Czym u Ciebie objawia sie to "źle"


Jesli chodzi ci o te NOTICE (wybacz, zmylil mnie tekst, ze juz naprawiles i dziala) to najpierw sprawdzaj czy jest dany POST a dopiero potem go pobieraj

Dzięki. Zrobiłem to tak:

[PHP] pobierz, plaintext 
if (isset($_POST['tytul']) && isset($_POST['text']) && isset($_POST['autor'])) {
$tytul = mysql_real_escape_string(trim($_POST['tytul']));
$text = mysql_real_escape_string(trim($_POST['text']));
$autor = mysql_real_escape_string(trim($_POST['autor']));
$data = date('Y-m-j');
 }
[PHP] pobierz, plaintext 

A co do jednego formularza do dodawania wiadomości i edycji ma ktoś jakiś pomysł?

Z góry przepraszam za ponownego posta. Udało mi się coś nowego stworzyć i niby pojawia się formularz, ale troche kiepsko ten kod wygląda. Da sie to jakoś inaczej zrobić?

[PHP] pobierz, plaintext 
<?php
//stosować tylko do projektu do wyszukania błędów
      error_reporting(E_ALL);
      ini_set('display_errors','1');
// usunąć po zakończeniu projektowania	  
//załączenie plików
include ('../meta.php');
include ('../dodatki/bonus.php');
polacz_baza();
$data = date('Y-m-j'); 
function add_news () {
echo "<h1>NEWSY - DODAWANIE I WYŚWIETLANIE</H1>";
echo '<form action="wiadomosci.php" method="post">
Tytuł wiadomości: <input type="text" name="tytul" /><br />
Treść wiadomości: <textarea name="text" cols="50" rows="10"></textarea><br />
Autor: <input type="text" name="autor" /><br />
 
<input type="submit" name="submit" value="wyślij" />
</form>';
}
//sprawdzenie czy istnieją zmienne
if (isset($_POST['tytul']) && isset($_POST['text']) && isset($_POST['autor'])) {
//mysql_real_escape_string Dodaje znaki unikowe w łańcuchu znaków do użycia w instrukcji SQL, trim wycina spacje
$tytul = mysql_real_escape_string(trim($_POST['tytul']));
$text = mysql_real_escape_string(trim($_POST['text']));
$autor = mysql_real_escape_string(trim($_POST['autor']));
 }
 //sprawdza czy istnieje zmienna$_POST['submit'], czyli czy nastąpiło wysłanie danych
if (isset($_POST['submit'])) {
//dodawanie danych do bazy
$zapytanie = "INSERT INTO newsy VALUES (NULL, '".$tytul."', '".$text."', '".$autor."', '".$data."')";
$result = mysql_query($zapytanie);
}
//sprawdzenie czy istnieją zmienne
if (isset($_GET['co']) && isset($_GET['id']) && $_GET['co'] == 'skasuj') {
$wynik = mysql_query("DELETE FROM newsy WHERE id = '".$_GET['id']."'");
add_news();
//sprawdzenie czy istnieją zmienne
} elseif (isset($_POST['co']) && $_POST['co'] == 'popraw') {
	if ($_POST['tytul'] && $_POST['text'] && $_POST['autor']) {
	$popraw = mysql_query("UPDATE newsy SET tytul = '".$_POST['tytul']."', text = '".$_POST['text']."', autor = '".$_POST['autor']."'  
	WHERE id = '".$_POST['id']."';")
	or die(mysql_error());
	$wynik = mysql_query($popraw);
	add_news();
 
	}	
}
//sprawdzenie czy istnieją zmienne
elseif (isset($_GET['co']) && $_GET['co'] == 'edytuj') {
$edycja = mysql_query("SELECT * FROM newsy WHERE id = '".$_GET['id']."';");
$rekord = mysql_fetch_assoc($edycja);
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
echo "<table border=\"1\">
<tr>
    <td width=\"120\"><form action=\"wiadomosci.php\" method=\"post\">
	nr id: ".$nrid."<input type=\"hidden\" name=\"co\" value=\"popraw\">
	<input type=\"hidden\" name=\"id\" value=\"".$nrid."\"><br /></td>
</tr><tr>	
    Tytuł:<input type=\"text\" name=\"tytul\" value=\"".$tytul."\"><br /></td>
</tr><tr>
         <td width=\"120\">Treść wiadomości:<textarea name=\"text\" cols=\"50\" rows=\"10\">".$text."</textarea><br /></td>
</tr><tr>
         <td width=\"120\">Autor:<input type=\"number\" name=\"autor\" min=\"0\" max=\"7\" value=\"".$autor."\"><br /></td>
</tr><tr>
		<td>Data: ".$data."</td>
</tr><tr>
         <td align=\"center\"><input type=\"submit\" name =\"popraw\" value=\"popraw\"><br />
         </form></td>
</tr>
</table>";
} elseif (!isset($_GET['co'])) {
add_news();
}
 
 
 
 
 
$wynik = mysql_query("SELECT * FROM newsy ORDER BY id DESC;") or 
	die ("zle polecenie");
//liczba rekordów
$ile = mysql_num_rows($wynik);
echo "Znaleziono: ".$ile." rekordów";
echo "<table border=\"1\" width=\"750\"><tr><td width=\"30\">Nr. ID</td><td width=\"100\">Tytuł</td><td width=\"400\">Text</td>
	<td width=\"10\">autor</td>
	<td>data</td>
	<td width=\"50\">Usuwanie
	</td><td>Edytowanie</td></tr>";
	//wyświetlanie danych z bazy komórka po komórce
WHILE ($rekord = mysql_fetch_assoc ($wynik)) {
$nrid = $rekord['id'];
$tytul = $rekord['tytul'];
$text = $rekord['text'];
$autor = $rekord['autor'];
$data = $rekord['data'];
 
	echo "<tr><td width=\"30\">".$nrid."</td><td width=\"100\">".$tytul."</td>
	<td width=\"40\">".$text."</td>
	<td width=\"10\">".$autor."</td>
	<td width=\"120\">".$data."</td>
	<td><a href=\"wiadomosci.php?co=skasuj&amp;id=$nrid\">usuń</a></td><td>
	<a href=\"wiadomosci.php?co=edytuj&amp;id=$nrid\">edytuj</a></td></tr>";
	}
echo "</table>";
 
 
?>
 
</body>
</html>
[PHP] pobierz, plaintext