[MYSQL] Edycja rekordu, usuwanie Opcje

[imatix]

Mam taki problem - po odpaleniu tego skryptu pojawia się błąd:
Parse error: parse error, expecting `T_VARIABLE' or `' ' in c:\usr\apache\httpd\html\edycja.php on line 16

[PHP] pobierz, plaintext 
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-h">
<TITLE>Działająca książka telefoniczna</TITLE>
</HEAD>
<BODY>
<? // Aplikacja daje nam możliwość odczytu, usuwania, dodawania
// i poprawy danych w bazie.
mysql_connect ("localhost", "root", "krasnal") or
die ("Nie można połączyć się z MySQL");
mysql_select_db ("cwphp") or
die ("Nie można połączyć się bazą cwphp");
if ($_POST['co'] == 'dodaj') { // dodawanie rekordu
if ($_POST['imie'] && $_POST['nazwisko'] && $_POST['telefon']) {
$query = "INSERT INTO ksiazkatelefoniczna (imie, nazwisko, ";
$query .= "telefon) VALUES ('".$ _POST['imie']."', '".$
    _POST['nazwisko']."', '".$ _POST['telefon']."');";
$wynik = mysql_query ($query);
}
} elseif ($_POST['co'] == 'popraw') { // poprawianie rekordu
if ($_POST['imie'] && $_POST['nazwisko'] && $_POST['telefon']) {
$query = "UPDATE ksiazkatelefoniczna SET imie='".$_POST
['imie']."',nazwisko=";
$query .= "'".$_POST['nazwisko']."', telefon='".$_POST
['telefon']."' WHERE
nr='".$_POST['id']."';";
$wynik = mysql_query ($query);
}
} elseif ($_GET['co'] == 'edytuj') { // przygotowanie do poprawek
$query = "SELECT * FROM ksiazkatelefoniczna where nr='".$_GET
['id']."';";
$wynik = mysql_query ($query);
$rekord = mysql_fetch_assoc ($wynik);
$nr = $rekord['nr']; $imie = $rekord['imie']; $nazwisko =
$rekord['nazwisko'];
$telefon = $rekord['telefon'];
print '<FORM METHOD="POST">Poprawa rekordu:';
print '<INPUT TYPE="hidden" NAME="co" VALUE="popraw">';
print '<INPUT TYPE="hidden" NAME="id" VALUE="'.$nr.'"><TABLE>';
print '<TR><TD>Imię:</TD><TD><INPUT TYPE="text" ';
print 'NAME="imie" VALUE="'.$imie.'"></TD></TR><TR><TD>Nazwisko:';
print '</TD><TD><INPUT TYPE="text" NAME="nazwisko"';
print 'VALUE="'.$nazwisko;
print '"></TD></TR><TR><TD>Telefon:</TD><TD><INPUT TYPE="text"';
print 'NAME="telefon" VALUE="'.$telefon.'"></TD></TR>';
print '</TABLE><INPUT TYPE="submit" VALUE="Popraw"></FORM>';
} elseif ($_GET['co'] == 'skasuj') { // usuwanie
$wynik = mysql_query
("DELETE FROM ksiazkatelefoniczna WHERE nr = '".$_GET
['id']."';");
}
$wynik = mysql_query ("SELECT * FROM ksiazkatelefoniczna;");
print "<TABLE CELLPADDING=5 BORDER=1>";
print "<TR><TD><B>Imię</B></TD><TD><B>Nazwisko</B></TD>";
print "<TD><B>Telefon</B></TD><TD></TD><TD></TD></TR>\n";
while ($rekord = mysql_fetch_assoc ($wynik)) {
$nr = $rekord['nr'];
$imie = $rekord['imie'];
$nazwisko = $rekord['nazwisko'];
$telefon = $rekord['telefon'];
print "<TR><TD>$imie</TD><TD>$nazwisko</TD><TD>$telefon</TD><TD>";
print "<A HREF=\"4-h9.php?co=skasuj&id=$nr\">skasuj</A></TD><TD>";
print "<A HREF=\"4-h9.php?co=edytuj&id=$nr\">edytuj</A></TD>
</TR>\n";
}
print "</TABLE>";
print '<FORM METHOD="POST">Nowy rekord:';
print '<INPUT TYPE="hidden" NAME="co" VALUE="dodaj"><TABLE>';
print '<TR><TD>Imię:</TD><TD><INPUT TYPE="text" ';
print 'NAME="imie"></TD></TR><TR><TD>Nazwisko:</TD><TD><INPUT ';
print 'TYPE="text" NAME="nazwisko"></TD></TR><TR><TD>Telefon:</TD>';
print '<TD><INPUT TYPE="text" NAME="telefon"></TD></TR>';
print '</TABLE><INPUT TYPE="submit" VALUE="Dodaj"></FORM>';
?>
</BODY>
</HTML>
[PHP] pobierz, plaintext 

Proszę o rozwiązanie tego problemu.

Powód edycji: poprawiłem tytuł (ociu)

[jareeny]

Po co tak:

[PHP] pobierz, plaintext 
<?php
$query = "INSERT INTO ksiazkatelefoniczna (imie, nazwisko, ";
$query .= "telefon) VALUES ('".$ _POST['imie']."', '".$
    _POST['nazwisko']."', '".$ _POST['telefon']."');";
?>
[PHP] pobierz, plaintext 

jak można tak:

[PHP] pobierz, plaintext 
<?php
$query = "INSERT INTO ksiazkatelefoniczna (imie, nazwisko, telefon) VALUES ("$_POST['imie']", "$_POST['nazwisko']", "$_POST['telefon']");";
?>
[PHP] pobierz, plaintext 

Ten post edytował jareeny 19.10.2008, 09:40:39

[HellRider]

Parser błąd znalazł tutaj:

18. | _POST // brakuje znaku $

jak można tak:

[PHP] pobierz, plaintext 
<?php
$query = "INSERT INTO ksiazkatelefoniczna (imie, nazwisko, telefon) VALUES ("$_POST['imie']", "$_POST['nazwisko']", "$_POST['telefon']");";
?>
[PHP] pobierz, plaintext 

A W ŻYCIU NIE! Wykonywanie zapytań SQL na niefiltrowanych danych to zachęta do psucia strony.
Przed tym wszystko co dostajemy w GET i POST musimy filtrować i badać czy są tam wartości, które powinny być,
np.: liczby, teksty, zainteresuj się funkcjami mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual i addslashes" title="Zobacz w manualu PHP" target="_manual przynajmniej.

[PHP] pobierz, plaintext 
<?php
$a = $_POST['imie'];
// tutaj: if / switch, regexp, sprawdź przekazywaną wartość
// ...
INSERT INTO ksiazkatelefoniczna (imie, nazwisko, telefon) VALUES ("$a" ... // filtrowane
?>
[PHP] pobierz, plaintext 

Ten post edytował HellRider 19.10.2008, 10:02:05