Skrypt "komentarze", nie działa gdy plik ma parametry Opcje

[majestiq]

Znalazłem w siecie taki prosty skrypcik:

[PHP] pobierz, plaintext 
<?php
*/
if ($message)
    {
    /* uncomment the next two lines to strip out html from input */
    /* $name = strip_tags($name); */
    /* $message = strip_tags($message); */
    $message = ereg_replace("r\nr\n", "\n<P>", $message);
    $date = date("l, F j Y, h:i a");
    $message = "<B>$name </B> -- $date<P> $message <BR><HR>";
    $fp = fopen (basename($PHP_SELF) . ".comment", "a");
    fwrite ($fp, $message);
    fclose ($fp);
    }
@readfile(basename(($PHP_SELF . ".comment")));
?>
<FORM method="post">
<b>Your name:</b><BR><INPUT name="name" type="text" size="55"><BR>
<b>Your comment:</b><BR><TEXTAREA name="message" rows=10 cols=55 wrap=virtual>
</TEXTAREA><BR>
<INPUT name="submit" type="submit" value="Post your comments">
</FORM>
 
</body>
</html>
[PHP] pobierz, plaintext 

Działa on w ten sposób, że kod dokleja się do każdej podstrony na której ma znajdować się możliwość dodania komentarza, i jeżeli komentarz zostanie dodany
to skrypt tworzy spobie plik: nazwa_danej_podstrony.php.comment i na tej podstawie wiadomo, że dany komentarz ma się wyświetlić tylko na danej stronie.
Niestety skrypt nie działa dla stron z parametrami np: nazwa_danej_podstrony?action=file&id=10 bo wtedy utworzy tak jak wyzej poprostu plik nazwa_danej_podstrony.php.comment

Chyba trzeba by tutaj zamiast PHP_SELF użyć REQUEST_URI albo coś w tym stylu.

Czy ktoś mógłby mi pomóc to przerobić ?

Ten post edytował majestiq 16.12.2008, 11:52:37

[thornag]

Dodaj do funkcji parametr z customowa nazwa pliku i uzyj go pozniej do zapisania go pod odpowiednia nazwa.

[majestiq]

Ale nazwa pliku jest już z góry ustalona, więc on sam powinien sobie ją pobrać, tylko tak jak mówie pobiera ale pomija wszystkie dodatkowe parametry po "?".

[misiek172]

wydaje mi sie że chodzi tutaj o parametr:

basename

http://pl.php.net/manual/pl/function.basename.php

pobiera on główną nazwe pliku obcinając reszte

Ten post edytował misiek172 16.12.2008, 12:10:39

[majestiq]

No chyba tutaj właśnie leży problem, tylko jak to poprawić ?

[erix]

ale pomija wszystkie dodatkowe parametry po "?".

$_SERVER['QUERY_STRING']. I proponowałbym dodatkowo ubezpieczyć ten ciąg, bo ktoś może Ci narobić kuku.

[majestiq]

Zajebiście, działa
Co do ubezpieczenia ciągu to chodzi ci np. o htmlspecialchars ?

No i jeszcze jedna sprawa, jakby to przerobić, żeby nie korzystać z plików .txt
tylko z bazy danych.

Do podmiany byłoby tylko to:

[PHP] pobierz, plaintext 
<?php
$fp = fopen (basename($_SERVER['QUERY_STRING']) . ".comment", "a");
   fwrite ($fp, $message);
   fclose ($fp);
   }
@readfile(basename(($_SERVER['QUERY_STRING'] . ".comment")));
?>
[PHP] pobierz, plaintext 

[erix]

Co do ubezpieczenia ciągu to chodzi ci np. o htmlspecialchars ?

Nie. Rób tak, aby nikt nie mógł nadpisać Ci dowolnego pliku albo zapisywać go gdzie ktoś inny zechce, a nie Ty.

No i jeszcze jedna sprawa, jakby to przerobić, żeby nie korzystać z plików .txt
tylko z bazy danych.

To już wtedy przerób cały skrypt, bo w takiej strukturze będzie on po prostu mało efektywny. Jak? Skryptów komentarzy masz sporo, właściwie, to wystarczy Ci parę podstawowych zapytań, które są opisane w pierwszym lepszym kursie MySQL.

[majestiq]

Nie. Rób tak, aby nikt nie mógł nadpisać Ci dowolnego pliku albo zapisywać go gdzie ktoś inny zechce, a nie Ty.

Łatwo powiedziec

To już wtedy przerób cały skrypt, bo w takiej strukturze będzie on po prostu mało efektywny. Jak? Skryptów komentarzy masz sporo, właściwie, to wystarczy Ci parę podstawowych zapytań, które są opisane w pierwszym lepszym kursie MySQL.

Wlasnie specjalnie szukalem jak najmniej skomplikowanego skryptu, zeby latwo bylo go przerobic na wersje bazodanową.
Czemu myslisz, ze zamiana tej czesci kodu, ktora podalem bedzie malo efektywna ?
Narazie chyba jednak bede musial pozostac przy tej wersji.

Poprostu chcialbym w jakiejs kolumnie zapisac nazwe pliku (tak jak nazwa pliku w wersji textowej)
i do niej przyporzadkowac tresc komentarza, autora i date.

[erix]

Łatwo powiedziec

Jeśli zaglądało się do manuala i odrobinę myśli, to łatwo.

Czemu myslisz, ze zamiana tej czesci kodu, ktora podalem bedzie malo efektywna ?

Skoro zapisujesz nazwy plików, to efektywniej będzie zapisywać komentarze bezpośrednio do bazy, a nie taką hybrydę. Po to są bazy danych, aby z nich korzystać.

[majestiq]

Jeśli zaglądało się do manuala i odrobinę myśli, to łatwo.

A jak np. ktos moze mi nadpisac ten plik lub zapisać go gdzieś indziej

NIe wiele już brakuje.
Tylko nie mogę wyświetlić tego co chce za pomocą SELECTa :/

[PHP] pobierz, plaintext 
<?php
Header('Content-type: text/html; charset=utf8');
 
 
$conn = mysql_connect('localhost, 'mp', 'pass');
mysql_select_db ("mp4") or die ("Nie mozna wybrac bazy danych");
 
$q = 'USE mp4';
 
 
 
$ans = mysql_query($q, $conn);
if (!$ans) print mysql_error($conn);
 
 
    $strona = $_SERVER['QUERY_STRING'];
   $nick = $_POST['nick'];
   $message = $_POST['message'];
   $message = strip_tags($message); 
   $message = ereg_replace("r\nr\n", "\n<P>", $message);
   $date = date("l, F j Y, h:i a");
 
if ($message)
 
 
 
   {
   $qrry = "INSERT INTO komentarze (query_string, nick, tresc, data) VALUES ('$strona', '$nick', '$message', '$data');";
    $ans = mysql_query($qrry, $conn);
   if (!$ans) print mysql_error($conn);
 }
 
 
$wypisz = "SELECT * FROM komentarze WHERE query_string='$strona'";
$answ = mysql_query($wypisz, $conn);
 
 // wyświetlany wyniki zapytania
    while($rek = mysql_fetch_array($answ)) {
        echo $rek['nick]."<br />"; 
              }
 
?>
 
 
<FORM method="post">
<p style="font-size:10px; color:#000; font-family:arial;">Nick:</p><BR><INPUT name="nick" type="text" size="55"><BR>
<p style="font-size:10px; color:#000; font-family:arial;">Komentarz:</p><BR><TEXTAREA name="message" rows=10 cols=55 wrap=virtual>
</TEXTAREA><BR>
<INPUT name="submit" type="submit" value="Dodaj komentarz">
</FORM>
[PHP] pobierz, plaintext 

Ten post edytował majestiq 18.12.2008, 15:21:10

[erix]

A jak np. ktos moze mi nadpisac ten plik lub zapisać go gdzieś indziej

Będę sobie wpisywał nazwy plików w QUERY_STRING. Ale widzę, że poprawiłeś basename" title="Zobacz w manualu PHP" target="_manualm.

Tylko nie mogę wyświetlić tego co chce za pomocą SELECTa :/

Sprawdź składnię kodu.

[majestiq]

No wlasnie sprawdzalem juz chyba ze 100 razy i probowalem na rozne sposoby ale SELECT mi dalej nie działa :/

[erix]

Jak ma zadziałać, jak masz niepoprawnie skonstruowane zapytania...?

Masz funkcję mysql_error" title="Zobacz w manualu PHP" target="_manual i kursy MySQL. Korzystaj.

[majestiq]

E tam niepoprawnie, było bylo dobrze tylko jakos zle to testowalem
W kazdym razie dzieki za pomoc !