[Java][PHP]Jak wstawić kod Java przez formularz do bazy. Opcje

[jackjack]

Witam
Stworzylem system dodawania newsow i artykulow na strone. Dodam, ze rarazie opcje dodawania bede mial tylko ja wiec kwestie zabezpieczen dodawanej tresci na razie pomijam. Chce aby obrazy ktore wstawiam dodajac w polu formularza obraz jako link po kliknieciu wywolywaly nowe okno, takie powiekszenie. Jednak kiedy proboje dodac przez formularz ponizszy kod nie dopisuje mi tego do bazy. Skrypt dziala ok poniewaz kiedy wstawiam inna tresc tzn tekst bez kawalkow kodu dodaje go bez problemow.
Probuje wstawic cos takiego do formularza:

[PHP] pobierz, plaintext 
<div id="viki_1"><a href="" onClick="okno('images/viki_1b.jpg',640, 480); return false"></a></div>
[PHP] pobierz, plaintext 

Jak rozwiazac ten problem lub czy istnieje inny sposob na dodawanie obrazow przez formularz?

Pozdrawiam

[zordon]

pewnie cudzysłowia wywalają Ci zapytanie do bazy. poczytaj o SQL injection

[blade-mrn]

Witam,
Dlatego do tego typu rzeczy stosuje się BBC Code. Spróbuj przepuścić ten swój skrypt przez addslashes()

[Crozin]

@up: Co mam BBCode do tego?

@jackjack: Naucz się korzystać z nowych, normalnych narzędzi do komunikacji z bazą danych - PDO - a unikniesz takich durnych problemów i błędów.

[konrados]

@Crozin - tak trochę offtopicowo - dlaczego używanie pdo pozwala na unikanie takich problemów?
Pytam, bo chcę się tym pdo zainteresować ale jakoś nie znajduję wielkich argumentów za tym.

[Crozin]

Chociażby dlatego, że PDO udostępnia nam Parameterized statements (więcej w sieci), które pozwalają m.in. na odseparowanie zapytania od jego parametrów (mogących zawierać nieco niewygodnych danych).

[konrados]

No właśnie te Parameterized statements mnie odpychały, bo zamiast jednej linijki kodu trzeba zrobić parę (IMG:style_emoticons/default/smile.gif) Ale to mogę przeboleć. A ma ten pdo jeszcze jakieś zalety?

[phpion]

A ma ten pdo jeszcze jakieś zalety?

Zmiana silnika bazy danych (np. z MySQL na PostgreSQL) to przy dobrych lotach (i poprawnych zapytaniach SQL) kwestia zmiany DSN. Nie trzeba zmieniać mysql_*() na pgsql_*().

[konrados]

OK, dzięki! Chociaż... jeśli to są jedyne argumenty to dla mnie osobiście mało przekonujące, ale i tak spróbuję.

Ten post edytował konrados 25.11.2010, 13:06:41

[Mephistofeles]

I co z tego, że napiszesz się trochę więcej? Kod będzie dużo czytelniejszy, a wykonywanie zapytań (np. w pętli) szybsze.

[phpion]

Chociaż... jeśli to są jedyne argumenty to dla mnie osobiście mało przekonujące, ale i tak spróbuję.

To czego jeszcze oczekujesz? Nie wystarczy, że PDO jest szybsze, bezpieczniejsze, "przenośne", nowoczesne?

[konrados]

To czego jeszcze oczekujesz? Nie wystarczy, że PDO jest szybsze, bezpieczniejsze, "przenośne", nowoczesne?

Miałem nadzieje na takie trickowe funkcje jakie widziałem w pewnej klasie-wrapperze mysql, jak np. budowanie zapytań (where, update set...) na podstawie zapodanych arrays. I w ogóle też na rzeczy, na które sam bym nie wpadł (bo na to budowanie zapytań na podst. arrays bym sam nie wpadł - mam za mały staż w php/sql).

No ale faktycznie, trzeba się wziąć, mam nadzieję, że przekształcenie moich aktualnych skryptów nie będzie zbyt bolesne/czasochłonne (IMG:style_emoticons/default/smile.gif)

[Crozin]

A co ma PDO (czyli warstwa komunikująca się z bazą danych) do budowania zapytań (QueryBuilder-y) czy jakimś sensownym, obiektowym interfejsem (ORM-y)?

Nic nie stoi na przeszkodzie byś sobie rozszerzył PDO - jedna z zalet OOP.

Ten post edytował Crozin 25.11.2010, 15:19:50

[Mephistofeles]

W takim razie zainteresuj się ORMami, np. Propel czy Doctrine.

[konrados]

OK, spojrzę.

To dziękuję Wam. Już od jakiejś chwili czytam o pdo, nasuwa się parę pytań, ale to temat na osobny wątek.

Ten post edytował konrados 25.11.2010, 18:49:03