Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [MSSQL][PHP]include ale na wyniku zapytania do db
Forum PHP.pl > Forum > Przedszkole
m-mike
3.08.2011, 06:46:41
Cześć
Mam coś takiego:
[PHP] pobierz, plaintext 
  1. $content_query="SELECT * FROM intranet_content where id='".$_GET["id"]."'";
  2. $content_result=mssql_query($content_query);
  3. $content_numRows = mssql_num_rows($content_result);
  4. echo "<strong>".iconv('cp1250' , 'UTF-8' ,$content_row["title"])."</strong><br>";
  5. echo iconv('cp1250' , 'UTF-8' ,$content_row["fulltext"]);
[PHP] pobierz, plaintext


Wszystko super, ale jak to zrobić, żeby zawartość fulltexta traktowana była jak kod php (np. załóżmy full text zawiera: 
[PHP] pobierz, plaintext 
  1. <? echo "lalallala"; ?>
[PHP] pobierz, plaintext
)
Jak to zrobić, żeby to było potraktowane jako kod? include nie zadziała w tym zakresie - można by kombinowac, żeby zawartość fulltext zapisywać w jakimś tymczasowym pliku i wtedy robić include, ale wydaje mi się, że powinna być jakaś prostsza metoda?

Dzięki
bastard13
3.08.2011, 07:42:28
http://php.net/manual/en/function.eval.php should be enough:)
A poza tym, to dwa razy się zastanów przed wykonywaniem takiego kodu, bo to poważna luka w zabezpieczeniu, jeżeli ktoś będzie miał możliwość dodawania rekordów do tej tabeli.
m-mike
3.08.2011, 09:26:22
Tak, znalazłem już ten eval.
Oczywiście, bardzo poważna luka, ale zakładam dostęp do edycji tego wyłącznie przez uprawnionych użytkowników.
Nie mam też chyba innego wyjścia - chcąc zrobić swoje rozwiązanie, które jest dość elastyczne (taki mały własny cms), i które przechowuje w bazie zarówno kod html jak i php

Z drugiej strony właśnie podczas edycji takiego pola napotykam problem. Edytując je z poziomu textarea uzywajac znaku ' mam problem z UPDATEM (rozjezdza sie, bo napotyka ten znak) a używając znaku " metoda post już sama z siebie dodaje \ (czyli jest "\)
a zatem jest problem np z zapisem takiego kodu:
[PHP] pobierz, plaintext 
  1. <?
  2. echo 'lalalalalal';
  3. ?>
[PHP] pobierz, plaintext

bo jest problem z update
takiego (wykrzacza się przez ')
[PHP] pobierz, plaintext 
  1. <?
  2. echo "lalalalalal";
  3. ?>
[PHP] pobierz, plaintext

bo zapisuje je jako:
[PHP] pobierz, plaintext 
  1. <?
  2. echo \"lalalalalal\";
  3. ?>
[PHP] pobierz, plaintext

i potem przy eval wyskakuje błąd
buliq
3.08.2011, 11:04:07
stripslashes ?

Przed wrzuceniem do bazy: htmlspecialchars i przed eval: htmlspecialchars_decode

A to powyżej profilaktycznie smile.gif Generalnie rzecz biorąc widzę ze nie za bardzo chcesz zabezpieczyć ten skrypt tongue.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.