Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[PHP] [MySQL] Księga gości ze zdjęciem, Skrypt PHP problem z modyfikacją "pod kątem blob"

szachmat Zobacz profil	13.01.2016, 09:15:38 Post #1
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 3.01.2016 Ostrzeżenie: (0%)	Witam, od kilkunastu dni serfuje po necie w poszukiwaniu startowego skryptu, na którym będę mógł oprzeć swoją przygodę z programowaniem. Chciałbym stworzyć księgę gości z możliwością dodawania zdjęć. Znalazłem interesujące mnie rozwiązanie, ale muszę je trochę zmodyfikować pod kątem upload i download "blob" z MySQL. Poniżej przedstawiam działający skrypt Ojca dyrektora. Jest to działająca księga gości z możliwością dodawania i usuwania wpisów. W necie jest wiele innych skryptów księgi gości, również i takich, za sprawą których można dodawać zdjęcia. Niemniej jednak mnie interesuje poznanie i modyfikacja tego skryptu pod kątem możliwości dodania zdjęcia. ksiega.php [PHP] pobierz, plaintext <?php session_start(); include ('config.php'); include ('function.php'); $tryby_ukryte = array('dod','update','del','wyloguj'); $wyswietl=true; if (in_array($_GET['m'],$tryby_ukryte)) $wyswietl=false; if ($wyswietl) echo '<h1> Księga Gości </h1>'; if ($_SESSION['admin']=='zalogowany' \|\| ( $_POST['login']==$log_admin && $_POST['password']==$pass_admin)) { if ($wyswietl) echo '<h2>Witaj '.$log_admin.'! - <a href="ksiega.php?m=wyloguj">Wyloguj</a></h2>'; $_SESSION['admin']='zalogowany'; $admin=true; } else if($_GET['m']!='wyloguj') { if ($wyswietl) echo '<a href="ksiega.php?m=login">Zaloguj</a><br />'; } $cid = mysql_connect($dbhost, $dbuser, $dbpass) or die (mysql_error()); mysql_select_db($dbname) or die(mysql_error()); if(!$wyswietl) { if (($_GET['m']=='dod' \|\| $_GET['m']=='update' ) && !empty($_POST['osoba']) && !empty($_POST['wpis'])) { $data = mktime(); $osoba = addslashes(nl2br(htmlentities($_POST['osoba']))); $wpis = addslashes(nl2br(htmlentities($_POST['wpis']))); } if ($_GET['m']=='dod' && !empty($osoba) && !empty($wpis)) { $sql = 'INSERT INTO '.$tabela.' (id,data,osoba,wpis) VALUES (NULL,'.$data.', \''.$osoba.'\', \''.$wpis.'\')'; mysql_query($sql) or die (mysql_error()); } if ($_GET['m']=='update' && !empty($osoba) && !empty($wpis) && !empty($_POST['id'])) { $sql = 'UPDATE '.$tabela.' SET osoba=\''.$osoba.'\', wpis=\''.$wpis.'\' WHERE id='.(int)$_POST['id']; mysql_query ($sql) or die (mysql_error()); } if ($_GET['m']=='del' && $admin && is_numeric($_GET['id'])) { $sql = 'DELETE FROM '.$tabela.' WHERE id='.$_GET['id']; mysql_query ($sql) or die(mysql_error()); } if ($_GET['m']=='wyloguj') { unset($_SESSION['admin']); } header('Location: ksiega.php'); } if ($_GET['m']=='edit' && $admin && is_numeric($_GET['id'])) { echo '<h3>Edycja</h3>'; $sql = 'SELECT id, osoba, wpis FROM '.$tabela.' WHERE id='.$_GET['id']; $result = mysql_query ($sql) or die(mysql_error()); $row = mysql_fetch_assoc($result); formularz($row['id'],$row['osoba'],$row['wpis'],'update'); } if ($wyswietl && $_GET['m']!='edit') { view($tabela,$admin); formularz(); } if ($_GET['m']=='login') { zaloguj(); } ?> [PHP] pobierz, plaintext function.php [PHP] pobierz, plaintext <?php function view($tabela,$admin) { $sql = 'SELECT id, data, osoba, wpis FROM '.$tabela.' ORDER BY data DESC'; $result = mysql_query ($sql) or die(mysql_error()); $ile = mysql_num_rows($result); echo 'W bazie jest '.$ile. ' wpisów.'; while ($row = mysql_fetch_assoc ($result)) //while - pętla "podczas gdy", assoc - zapisuje wiersz wyników w tab. asoc., $result - wyniki// { echo '<dl><dt>'.date('d M y H:i.s',$row['data']).'<dd><b>'. stripslashes($row['wpis']).', </b> </dd> <i>'.$row['osoba'].'</i>'; if ($admin) echo ' - <a href="ksiega.php?m=edit&id='.$row['id'].'">Edytuj</a> \| <a href="ksiega.php?m=del&id='.$row['id'].'">Usuń</a>'; echo '</dt></dl>'."\n"; // formatowanie wyglądu wpisu } } function formularz($id=0, $osoba='', $wpis='', $tryb='dod') { ?> <br /> <br /> <form method="post" action="ksiega.php?m=<?php echo $tryb;?>"> <table> <tr><td>Osoba:</td><td> <input type="text" name="osoba" value="<?php echo $osoba;?>" /></td></tr> <tr><td>Wpis:</td><td> <textarea name="wpis" cols="45" rows="4"><?php echo $wpis;?></textarea> </td></tr> </table> <input type="hidden" value="<?php echo $id;?>" name="id"/> <input type="submit" value="Wyślij"/> </form> <br /> <hr /> [PHP] pobierz, plaintext Od czego by tu zacząć?... Próbuję go ugryźć. Już mniej więcej wiem, co w trawie piszczy. Kod oparty jest na trybach, które służą m.in. dodawaniu i wczytywaniu treści bd. modyfikowałem tabelę w bd pod kątem blob; modyfikowałem formularz pod kątem multipart; *modyfikowałem cały skrypt pod kątem $zdjecie [lub] 'zdjecie', itp. opierałem się przy tym na modyfikacji: [PHP] pobierz, plaintext $zdjecie = addslashes (fread(fopen)($_POST ['zdjecie']))); [PHP] pobierz, plaintext Niestety błąd serwera. Mam w związku z tym takie pytanie: czy macie jakieś materiały przybliżające mnie choć o krok w stronę poznania interesującego mnie rozwiązania? Czy pliki binarne potrzebują jakiegoś specjalnego zdefiniowania?

Start new topic

Odpowiedzi (1 - 5)

kayman Zobacz profil	13.01.2016, 09:24:27 Post #2
Grupa: Zarejestrowani Postów: 556 Pomógł: 40 Dołączył: 20.07.2012 Skąd: Warszawa Ostrzeżenie: (0%)	http://php.net/manual/en/reserved.variables.files.php

Pyton_000 Zobacz profil	13.01.2016, 09:27:03 Post #3
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%)	Nie przechowuj plików w bazie... Lepiej napisz wszystko od początku, bo ten skrypt wygląda jak by go ktoś przez maszynkę do mielenia mięsa puścił.

nospor Zobacz profil	13.01.2016, 10:07:42 Post #4
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Ten skrypt jest poprostu STARY. Uzywa przestarzalych metod, jest totalnie podatny na wszelkiego rodzaju ataki. Uczac sie na takim czyms, nabierasz na dzien dobry zlych nawykow.

szachmat Zobacz profil	15.02.2016, 10:07:40 Post #5
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 3.01.2016 Ostrzeżenie: (0%)	Dzięki wielkie za podpowiedzi. Podpowiedź z $_FILES była dobra. Dzięki wielkie. Co do przechowywanie zdjęć w BD zgoda, ale będę rozważał to przy kolejnym zadaniu (o ile nad tym nie spędzę całego życia, jak doktorek z Dżumy Camusa). Chciałbym wyrobić sobie jakikolwiek inny nawyk poza // albp /??/ Tym razem przedstawiam moda z komentarzami. MsQL ERROR na ksiega.php i function.php ksiega.php [PHP] pobierz, plaintext <?php session_start(); include ('config.php'); include ('function.php'); $tryby_ukryte = array('dod','update','del','wyloguj'); $wyswietl=true; if (in_array($_GET['m'],$tryby_ukryte)) $wyswietl=false; if ($wyswietl) echo '<h1> Księga Gości </h1>'; if ($_SESSION['admin']=='zalogowany' \|\| ( $_POST['login']==$log_admin && $_POST['password']==$pass_admin)) { if ($wyswietl) echo '<h2>Witaj '.$log_admin.'! - <a href="ksiega.php?m=wyloguj">Wyloguj</a></h2>'; $_SESSION['admin']='zalogowany'; $admin=true; } else if($_GET['m']!='wyloguj') { if ($wyswietl) echo '<a href="ksiega.php?m=login">Zaloguj</a><br />'; } $cid = mysql_connect($dbhost, $dbuser, $dbpass) or die (mysql_error()); mysql_select_db($dbname) or die(mysql_error()); if(!$wyswietl) { /tryb ładowania do bazy danych, tryb ładowania, jak się robi \|\| na klawiaturze??/ if (($_GET['m']=='dod' \|\| $_GET['m']=='update' ) && !empty($_POST['osoba']) && !empty($_POST['wpis'] && !empty($_FILES['zdjecie'])) //prawda jeśli, dopisałem $_FILES { $data = mktime(); $osoba = addslashes(nl2br(htmlentities($_POST['osoba']))); $wpis = addslashes(nl2br(htmlentities($_POST['wpis']))); $zdjecie = addslashes(fread(fopen($_FILES['zdjecie']))); //dopisałem linijkę, zabezpieczenie, czytanie długości, otwieranie } /tryb ładowania 2 ??? zapytanie do sgl czy zostało dodane/ if ($_GET['m']=='dod' && !empty($osoba) && !empty($wpis)) && !empty($zdjecie) //dodałem && !empty($zdjecie) { $sql = 'INSERT INTO '.$tabela.' (id,data,osoba,wpis) VALUES (NULL,'.$data.', \''.$osoba.'\', \''.$wpis.'\', \''.$zdjecie.'\')'; //dodałem \''.$zdjecie.'\' mysql_query($sql) or die (mysql_error()); } /tryb ładowania 3/ if ($_GET['m']=='update' && !empty($osoba) && !empty($wpis) && !empty($_POST['id'] !empty($_FILES['zdjecie'])) //dodałem !empty($_FILES['zdjecie']) { $sql = 'UPDATE '.$tabela.' SET osoba=\''.$osoba.'\', wpis=\''.$wpis.'\', zdjecie=\''.$zdjecie.'\' WHERE id='.(int)$_POST['id']; //dodałem zdjecie=\''.$zdjecie.'\' mysql_query ($sql) or die (mysql_error()); } if ($_GET['m']=='del' && $admin && is_numeric($_GET['id'])) { $sql = 'DELETE FROM '.$tabela.' WHERE id='.$_GET['id']; mysql_query ($sql) or die(mysql_error()); } if ($_GET['m']=='wyloguj') { unset($_SESSION['admin']); } header('Location: ksiega.php'); } if ($_GET['m']=='edit' && $admin && is_numeric($_GET['id'])) { echo '<h3>Edycja</h3>'; $sql = 'SELECT id, osoba, wpis FROM '.$tabela.' WHERE id='.$_GET['id']; $result = mysql_query ($sql) or die(mysql_error()); $row = mysql_fetch_assoc($result); formularz($row['id'],$row['osoba'],$row['wpis'],$row['zdjecie']'update'); // dodałem $row['zdjecie'] } if ($wyswietl && $_GET['m']!='edit') { view($tabela,$admin); formularz(); } if ($_GET['m']=='login') { zaloguj(); } ?> [PHP] pobierz, plaintext function.php [PHP] pobierz, plaintext <?php function view($tabela,$admin) { $sql = 'SELECT id, data, osoba, wpis, zdjecie FROM '.$tabela.' ORDER BY data DESC'; //dodałem zdjecie $result = mysql_query ($sql) or die(mysql_error()); $ile = mysql_num_rows($result); echo 'W bazie jest '.$ile. ' wpisów.'; while ($row = mysql_fetch_assoc ($result)) //while - pętla "podczas gdy", assoc - zapisane wiersze wyników w tab. asoc., $result - wyniki { echo //wyswietl '<dl><dt>'. date('d M y H:i.s',$row['data']). ($row['zdjecie']) // dodałem linie >> TU MOŻE BYĆ BŁĄD '<dd><b>'. stripslashes($row['wpis']). //usuwa "/", funckja ochronna. Nie jest rekurencyjny. Jeśli chcesz zastosować tę funkcję do wielowymiarowej tablicy, należy skorzystać z funkcji rekurencyjnej ', </b> </dd> <i>'. $row['osoba']. //wiersz, czemu tu nie ma zabezpieczenia? '</i>'; if ($admin) echo ' - <a href="ksiega.php?m=edit&id='.$row['id'].'">Edytuj</a> \| <a href="ksiega.php?m=del&id='.$row['id'].'">Usuń</a>'; echo '</dt></dl>'."\n"; // formatowanie wyglądu wpisu } } function formularz($id=0, $osoba='', $wpis='', $zdjecie='', $tryb='dod') { ?> <br /> <br /> <form enctype="multipart/form-data" method="post" action="ksiega.php?m=<?php echo $tryb;?>"> <table> <tr><td>Osoba:</td><td> <input type="text" name="osoba" value="<?php echo $osoba;?>" /></td></tr> <tr><td>Wpis:</td><td> <textarea name="wpis" cols="45" rows="4"><?php echo $wpis;?></textarea> <tr><td>Zdjęcie:</td><td> <textarea type="blob", name="zdjecie"<?php echo $zdjecie;?> <!-- dodałem całą linijkę TU MA BYĆ FILE CZY BLOB??--> </td></tr> </table> <input type="hidden" value="<?php echo $id;?>" name="id"/> <input type="submit" value="Wyślij"/> </form> <br /> <hr /> <?php } function zaloguj() { ?> <br /> <br /> <form method="post" action="ksiega.php"> <table> <tr><td>Login:</td><td><input type="text" name="login" /></td></tr> <tr><td>Password:</td><td><input type="password" name="password" /></td></tr> </table> <input type="submit" value="Wyślij"/> </form> <br /> <hr /> <?php } ?> [PHP] pobierz, plaintext Nie wiem, może coś nie tak z GET, teraz temu będę się przyglądał. Ten post edytował szachmat 15.02.2016, 10:09:53

viking Zobacz profil	15.02.2016, 10:23:00 Post #6
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Zanim jeszcze bardziej w to nie zabrnąłeś przejdź na PDO albo chociaż mysqli. Twoje addslashes + htmlentities niekonieczne jest bezpieczne na wszystkie ataki mysql. Jakim zabezpieczeniem jest fread/fopen? Sprawdzaj typ mime. WHERE id='.$_GET['id']; - aha. Daj chociaż rzutowanie na int. Bardziej nowoczesna księga gości.

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 22.08.2025 - 22:08

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn