Witam!
Ostatnio postanowiłem stworzyć sobie coś na styl cms'a. No więc wygrzebałem w sieci tutorial na temat systemu newsów wraz z PA. Tutaj link do niego(jeśli takie linki są niedozwolone to przepraszam, ale chcę jak najlepiej przedstawić mój problem). Lecz nie w tym rzecz. Postanowiłem sobie przerobić ten skrypt pod podstrony i wyszło mi coś takiego:
[PHP] admin.php - pobierz, plaintext 
  1. <?
  2. session_start();
  3. ?>
  4. <html>
  5.  
  6. <head>
  7. <meta http-equiv="Content-type" content="text/html; charset=UTF-8">
  8. <title>PODSTRONY - panel administratora</title>
  9. </head>
  10.  
  11. <body>
  12. <?
  13. if(isset($_POST['pass']))
  14. {
  15.     if($_POST['pass']=='haslo')
  16.     {
  17.     $_SESSION['admin']='ok';
  18.     }
  19. }
  20.  
  21. if((!isset($_SESSION['admin']) || $_SESSION['admin']!='ok') && $_GET['admin']!='wyloguj')
  22. {
  23. echo '<form method="POST" action="admin.php">
  24.     <p align="center">
  25.     Niestety nie jesteś zalogowany.<br> Proszę podać hasło:<br>
  26.     <input type="password" name="pass" size="20"><br>
  27.     <input type="submit" value="OK"></p>
  28. </form>';
  29. }
  30.  
  31. if(isset($_GET['admin']) && $_GET['admin']=='wyloguj')
  32. {
  33. $_SESSION['admin']='';
  34. echo 'Nastąpiło wylogowanie<br> Przejdź do <a href="./index.php">strony głównej</a>...';
  35. }
  36.  
  37. if($_SESSION['admin']=='ok')
  38. {
  39.  
  40. $uchwyt=mysql_connect('serwer','uzytkownik','haslo')
  41.     or die('Nieudane połączenie z bazą danych...');
  42. mysql_select_db('baza')
  43.     or die('Nie udało się wybrać bazy danych...');
  44.  
  45. 	mysql_query ("SET NAMES utf8");
  46.  
  47. 	?>
  48.  
  49. 	<table border="1" width="600" align="center">
  50.     <tr>
  51.         <td align="center"><b>PANEL ADMINISTRATORA - PODSTRONY</b></td>
  52.     </tr>
  53.     <tr>
  54.         <td align="center">
  55.             <a href="admin.php">Strona główna</a> |
  56.             <a href="admin.php?podstrony=pokaz">Pokaż podstronę</a> |
  57.             <a href="admin.php?podstrony=dodaj">Dodaj podstronę</a></td>
  58.     </tr>
  59.     <tr>
  60.         <td align="center">
  61. <?
  62.  
  63. if(isset($_GET['podstrony']) && $_GET['podstrony']=='pokaz')
  64. {
  65.     echo '<b>PODSTRONY W TWOIM SERWISIE:</b><br>';
  66.     $link=mysql_query('SELECT * FROM podstrony ORDER BY id desc');
  67.     while($wiersz=mysql_fetch_array($link))
  68.     {
  69.     echo '<b>'.$wiersz['tytul'].'</b>';
  70. 	echo '<a href="admin.php?podstrony=edytuj&id='.$wiersz['id'].'">Edytuj</a>';
  71.     echo ' - ';
  72.     echo '<a href="admin.php?podstrony=usun&id='.$wiersz['id'].'">Usuń</a>';
  73.     echo "<br>\n";
  74.     }
  75.  
  76. }
  77.  
  78. elseif(isset($_GET['podstrony']) && $_GET['podstrony']=='dodaj')
  79. {
  80.     echo '<b>DODAJ NOWĄ PODSTRONĘ</b><br>';
  81.     echo '<form method="POST" action="admin.php?podstrony=dopisz">
  82.         <table border="0" width="100%">
  83.             <tr>
  84.                 <td>Tytuł:</td>
  85.                 <td><input type="text" name="tytul" size="64"></td>
  86.             </tr>
  87.             <tr>
  88.                 <td>Treść: </td>
  89.                 <td><textarea rows="5" name="tresc" cols="42"></textarea></td>
  90.             </tr>
  91.             <tr>
  92.                 <td> </td>
  93.                 <td><input type="submit" value="DODAJ"></td>
  94.             </tr>
  95.         </table>
  96.     </form>';
  97. }
  98.  
  99. elseif(isset($_GET['podstrony']) && $_GET['podstrony']=='edytuj' && isset($_GET['id']))
  100. {
  101.     $id=$_GET['id'];
  102.     $link=mysql_query("SELECT * FROM podstrony WHERE id='$id'");
  103.     $wiersz=mysql_fetch_array($link);
  104.  
  105.     echo '<b>EDYTUJ NEWSA</b><br>';
  106.     echo '<form method="POST" action="admin.php?podstrony=wyedytuj&id='.$wiersz['id'].'">
  107.         <table border="0" width="100%">
  108.             <tr>
  109.                 <td>Tytuł:</td>
  110.                 <td><input type="text" name="tytul" size="64" value="'.$wiersz['tytul'].'"></td>
  111.             </tr>
  112.             <tr>
  113.                 <td>Treść: </td>
  114.                 <td><textarea rows="5" name="tresc" cols="42">'.$wiersz['tresc'].'</textarea></td>
  115.             </tr>
  116.             <tr>
  117.                 <td> </td>
  118.                 <td><input type="submit" value="EDYTUJ"></td>
  119.             </tr>
  120.         </table>
  121.     </form>';
  122. }
  123.  
  124. elseif(isset($_GET['podstrony']) && $_GET['podstrony']=='dopisz')
  125. {
  126.     $tytul=$_POST['tytul'];
  127.     $tresc=$_POST['tresc'];
  128.  
  129.     mysql_query("INSERT INTO podstrony VALUES(0,'$tytul','$tresc')");
  130.     echo 'Pomyślnie dodałem podstronę o tytule: <b>'.$tytul.'</b> i o treści: <b>'.$tresc.'</b>';
  131.  
  132. }
  133.  
  134. elseif(isset($_GET['podstrony']) && $_GET['podstrony']=='wyedytuj' && isset($_GET['id']))
  135. {
  136.     $tytul=$_POST['tytul'];
  137.     $tresc=$_POST['tresc'];
  138.     $id=$_GET['id'];
  139.  
  140.     mysql_query("UPDATE podstrony SET tytul='$tytul' tersc='$tresc' WHERE id='$id'");
  141.     echo 'Pomyślnie wyedytowałem podstronę! <br> Jego nowy tytuł to: <b>'.$tytul.'</b>, a treść: <b>'.$tresc.'</b>';
  142.  
  143. }
  144.  
  145. elseif(isset($_GET['podstrony']) && $_GET['podstrony']=='usun' && isset($_GET['id']))
  146. {
  147.     $id=$_GET['id'];
  148.  
  149.     mysql_query("DELETE FROM podstrony WHERE id='$id'");
  150.     echo 'Pomyślnie usunąłem podstronę numer '.$id.'!';
  151.  
  152. }
  153.  
  154. else echo 'Witaj w panelu administracyjnym podstronami...<br>
  155. W górnej części znajduje się menu, które pozwoji ci zarządzać podstronami w twoim serwise.<br>';
  156. ?>
  157. </td>
  158.     </tr>
  159.  
  160. 	    <tr>
  161.         <td align="right"><a href="admin.php?admin=wyloguj">WYLOGUJ >></a></td>
  162.     </tr>
  163. </table>
  164. <?
  165. mysql_close($uchwyt);
  166. }
  167.  
  168. ?>
  169. </body>
  170.  
  171. </html>
[PHP] admin.php - pobierz, plaintext 

[PHP] podstrona.php - pobierz, plaintext 
  1. <?
  2.  
  3. $uchwyt=mysql_connect('serwer','uzytkownik','haslo')
  4.     or die('Nieudane połączenie z bazą danych...');
  5. mysql_select_db('baza')
  6.     or die('Nie udało się wybrać bazy danych...');
  7.  
  8. 	mysql_query ("SET NAMES utf8");
  9.  
  10.   $strona=$_GET['strona'];
  11.  
  12.   $adres="SELECT * FROM podstrony WHERE tytul='$strona'";
  13.  
  14.   $link=mysql_query($adres)
  15.     or die("Wybrana podstrona nie istnieje");
  16.  
  17. 	while($wiersz=mysql_fetch_array($link))
  18.  {
  19.     echo '<b>';
  20.     echo $wiersz['tresc'];
  21.     echo "<br>\n";
  22.     echo "<br>\n";
  23. }
  24.  
  25. mysql_close($uchwyt);
  26. 	?>
[PHP] podstrona.php - pobierz, plaintext


A do index'u dodaję:

[PHP] pobierz, plaintext 
  1. <? include('podstrona.php'); ?>
[PHP] pobierz, plaintext


I teraz mam parę pytań:
1. Jakie jest bezpieczeństwo tego skryptu, czy istnieje możliwość włamania się do PA?
2. Obydwa skrypty (podstron i newsów) są podobne, można je dzięki temu jakoś skrócić?
3. Jak widać podstrony są wywoływane poprzez ?strona=tytuł_podstrony, ale co jeśli użytkownik wstawi polskie znaki i spacje do tytułu? Myślałem nad dodaniem dodatkowego pola do tablicy podstrony o nazwie np. "adres" i dodawanie do niej tego co do tytul tyle że ze spacjami zamienionymi na "_", polskimi znakami na te bez ogonków i usuniętą resztą znaków jakie nie mogą się znaleźć w adresie. Co o tym sądzicie można to zrobić prościej?

Na razie tyle, jak będę miał jeszcze jakieś wątpliwości to nie zawaham się napisać :]