[php]/[MySQL] Wyswietlanie newsów z bazy. Opcje

[dawhol]

Witam jestem poczatkujacy w sprawach php ucze sie dopiero kilkanascie dni (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ale napisałem juz pare skryptów dzisiaj chciałem dac pod ostrzał skrypt do wyswietlania newsów z bazy.

Struktóra bazy danych jest następująca:
ID | TITLE | SHORTNEWS | LONGNEWS | DATA

A o to kod pliku newsy_wyswietl.php

[PHP] pobierz, plaintext 
<?php
$mysql = '../conf/mysql.ini.php';
 
/* Za pomocą funkcji if sprawdzamy czy istnieje plik ze zmiennej $mysql, gdy funk
cja zwróci wartosc TRUE
   wczytujemy plik w innym przypadku wyswietlamy blad. */
 
if ( file_exists($mysql)) 
{
	require_once($mysql);  
} else echo ('Nie można się połączyć z bazą ponieważ plik'.$mysql.' nie istnieje.');
 
/* Deklarujemy funkcje shortnews() */
function shortnews()
{
	/* ile na strone */
	$ile = 10;
	$numrows = mysql_num_rows(mysql_query("SELECT * FROM cms_news"));
	if(!$p) $p = 0;
	/* zabezpieczenie przed nienumerycznymi wartosciami */
	$p = (int)$p; 
	$ile = (int)$ile;
 
	$zapytanie = "SELECT * FROM cms_news ORDER by data LIMIT $p,$ile";
	$wykonaj = mysql_query($zapytanie);
 
	while($dane=mysql_fetch_array($wykonaj)) { echo "<table width="500px"><tr>
	  <td>".$dane['title']."</td></tr>
	   <tr><td>".$dane['shortnews']."<br><a href="news_wyswietl.php?wiecej=1&id=".$dane['id']."">Więcej ...</a></td></tr>
		<tr><td>".$dane['data']."</td>
		</tr></table><br /><br />";
		}
	 
	echo "strona: ";
	for($i=0;$i<ceil($numrows/$ile);$i++) {
	echo '<a href="'.$PHP_SELF.'?p='.($i*$ile).'">'.($i+1).'</a> ';};
 
}
 
/* Deklarujemy funkcję longnews() */
function longnews()
{
 
	if (is_numeric($_GET['id'])) 
	{
		$id = $_GET['id'];
	}
	else
	{
		$id = rand(); /* Jeżeli id nie bedzie liczba lub bedzie puste wtedy zostanie wylosowane
						 jezeli nie bedzie go w bazie to nic sie nie wyswietli a 
						 jezeli dany id bedzie w bazie wyswietli on w formie dludiej newsa o wylosowanym
 id */ 
	};
 
	$zapytanie2 = "SELECT * FROM cms_news WHERE id=$id LIMIT 1";
	$wykonaj2 = mysql_query($zapytanie2);
 
	if ($dane2=mysql_fetch_array($wykonaj2)) { echo "<table width="500px"><tr>
	  <td>".$dane2['title']."</td></tr>
	   <tr><td>".$dane2['shortnews']."<br /><br />".$dane2['longnews']."</td></tr>
		<tr><td>".$dane2['data']."</td>
		</tr></table>";};
}
 
/* Jezeli zmienna $wiecej jest pusta wtedy zostana wyswietlone wszystkie newsy w 
formie krótkiej,
jezeli wartos ta bedzie liczba oraz bedzie równa 1 wtedy zostanie wyswietlony je
den news w całości,
w innym wypadku zostanie wyświetlony bład */
 
$wiecej = $_GET['wiecej'];
 
if (empty($wiecej)) 
{
	shortnews();	
} 
else 
{
		if (is_numeric($wiecej) && $wiecej = 1) 
		{
			longnews();
		} 
		else echo ('Błąd wartość zmiennej $wiecej jest nie prawidłowa !!!');	   
};
 
?>
[PHP] pobierz, plaintext 

Proszę o ocenę i ew. propozycje poprawy i zmian (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował dawhol 4.08.2006, 23:56:42

[SHiP]

Mylisz pojęcia ;] sql injection jest mozliwe tylko gdy zmienna jest użyta w zapytaniu SQL np...

[PHP] pobierz, plaintext 
<?php
mysql_query('SELECT * FROM tabelka WHERE id="'.$_GET['id'].'"');
?>
[PHP] pobierz, plaintext 

Taki kod jest niebezpieczny i w tym przypadku przydałoby sie sprawdzić $_GET['id']

U ciebie zmienna $_GET['wiecej'] jest tylko sprawdzana pod względem wartości, nie jest przekazywana do jakiegokolwiek zapytania wiec moim zdaneim twoje rozwiązanie jest przekombinowane ;] co za różnica czy zmienna $_GET['wiecej'] bedzie cyfrą czy nie i tak skrypt nie wygeneruje żadnych błedów i nie da okazji na sql_injection ;]
A skoro nie widać różnicy to po co przepłacać? To zawsze tych kilka microsekund ;]