[PHP]Problem ze skryptem Opcje

[imatix]

Znowu mam problem ze skryptem do glosowania, po kliknieciu na ocene nic sie nie dzieje:
Mysle ze w petli jest blad, moglby ktos pomoc naprawic?
Skrypt na stronie: http://www.muzycznalista.yoyo.pl/

[PHP] pobierz, plaintext 
<?php 
 // Lączenie z baza danych 
 mysql_connect("mysql1.yoyo.pl", "xxxx", "xxxx") or die(mysql_error()); 
 mysql_select_db("xxxxx") or die(mysql_error()); 
 
//Ten kod się włącza tylko gdy uzytkownik kliknie na link do głosowania
 if ( $_GET['mode']=="vote") 
 {
    $voted = $_GET['voted'];
    $id= $_GET['id'];
 
  //Kod pozwalający głosować każdemu tlyko raz.
        $cookie = "Mysite$id"; 
 	if(isset($_COOKIE[$cookie])) 
 		{ 
 		Echo "Już oddałes/as głos na ten utwór. Można głosować tylko raz. <p>"; 
 		} 
 
 //Wstawienie cookie 
 	else 
 		{ 
 		$month = 2592000 + time(); 
 		setcookie($cookie, 'Voted', $month); 
 
 
//Aktualizacja informacji o głosie przez dodanie 1 to całego głosowania i dodanie ich głosu do całosci
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id"); 
 		Echo "Głos został oddany. <p>"; 
 		} 
 } 
 
//Wstawienie informacji z MySQL
$data = mysql_query("SELECT *, total / votes AS average FROM vote ORDER BY average DESC LIMIT 0,50") or die(mysql_error());
 
 //Zapętlenie skryptu 
 for($i = 1; $ratings = mysql_fetch_array( $data ); ++$i)
 { 
 
 //Wykonawca 
 Echo "<div id=lista><TABLE border=0 cellspacing=0 cellpadding=0><TR><TD><IMG SRC=img/nuta.jpg ALT=nuta></TD>
 <TD width=350px;>" . $i . ". ".$ratings['wykonawca']." - "; 
 
 //Tytuł piosenki
 Echo "" .$ratings['tytul']."</TD>"; 
 
 //Link do YouTube  
 Echo "<TD width=20px;><IMG SRC=img/strzalka.png BORDER=0 ></TD><TD width=40px;><a href=" .$ratings['adres']." target=_blank><FONT SIZE=2>Play</a></TD>";
 
 
 //Głosy na 1,2,3,4,5 
 Echo "<TD width=150px;><FONT SIZE=2>Głosuj: "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=1&id=".$ratings[id].">1</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=2&id=".$ratings[id].">2</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=3&id=".$ratings[id].">3</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=4&id=".$ratings[id].">4</a> | ";
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=5&id=".$ratings[id].">5</a> <TD/>"; 
 
  //Wstawienie średniej arytmetycznej 
 $current = $ratings['average']; 
 Echo "<TD width=50px;>Śr. " . round($current, 1) . "</TD> </TR></TABLE></FONT></div>"; 
 
 } 
 
 ?>
[PHP] pobierz, plaintext 

[nospor]

Skoro juz uzywasz die(mysql_error()) to uzywaj tego wszedzie....

[PHP] pobierz, plaintext 
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id") or die(mysql_error()); 
[PHP] pobierz, plaintext 

[imatix]

Zmienilem ale nadal nie dziala, oceny sie sie zmieniaja.

[nospor]

Błąd też się nie pojawia?

A teraz co się pojawia:

[PHP] pobierz, plaintext 
echo 'juchu.... myslmy troche:';
echo "UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id";
echo "Widac mnie?";
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id") or die(mysql_error()); 
[PHP] pobierz, plaintext 

[imatix]

Blad sie nie pojawia, i te echo tez nie.

Jak sie kliknie to : juchu.... myslmy troche:UPDATE vote SET total = total+4, votes = votes+1 WHERE id = 21Widac mnie?

[phpion]

Nie odpowiem Ci na pytanie ale zasugeruję pewne zabezpieczenie. Co zrobi wejście pod ten link?
http://www.muzycznalista.yoyo.pl/index.php...oted=5&id=1

Doda 5 punktów do utworu 1, tak? Tak (przynajmniej takie jest założenie). Co natomiast zrobi taki link?

http://www.muzycznalista.yoyo.pl/index.php...=99999&id=1

Nabije głosy. Pomijam już fakt podatności na SQL Injection (zaprzyjaźnij się z mysql_escape_string), jednak wypadałoby sprawdzać co użytkownik "klika".

[nospor]

Jak sie kliknie to : juchu.... myslmy troche:UPDATE vote SET total = total+4, votes = votes+1 WHERE id = 21Widac mnie?

No i ok. Zapytanie nie zwraca bledów. Patrzyles czy dane w bazie się zmienily?

[imatix]

Nic sie nie zmienia.

[nospor]

Hmmm.... pokaż cały kod po zmianach jakie zrobiłeś.

[imatix]

[PHP] pobierz, plaintext 
<?php 
 // Lączenie z baza danych 
 mysql_connect("xxxx", "xxxx", "xxx") or die(mysql_error()); 
 mysql_select_db("xxxx3") or die(mysql_error()); 
 
//Ten kod się włącza tylko gdy uzytkownik kliknie na link do głosowania
 if ( $_GET['mode']=="vote") 
 {
    $voted = $_GET['voted'];
    $id= $_GET['id'];
 
  //Kod pozwalający głosować każdemu tlyko raz.
        $cookie = "Mysite$id"; 
 	if(isset($_COOKIE[$cookie])) 
 		{ 
 		Echo "Już oddałes/as głos na ten utwór. Można głosować tylko raz. <p>"; 
 		} 
 
 //Wstawienie cookie 
 	else 
 		{ 
 		$month = 2592000 + time(); 
 		setcookie($cookie, 'Voted', $month); 
 
 
//Aktualizacja informacji o głosie przez dodanie 1 to całego głosowania i dodanie ich głosu do całosci
 echo 'juchu.... myslmy troche:';
echo "UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id";
echo "Widac mnie?";
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id") or die(mysql_error()); 
 
 		} 
 } 
 
//Wstawienie informacji z MySQL
$data = mysql_query("SELECT *, total / votes AS average FROM vote ORDER BY average DESC LIMIT 0,50") or die(mysql_error());
 
 //Zapętlenie skryptu 
 for($i = 1; $ratings = mysql_fetch_array( $data ); ++$i)
 { 
 
 //Wykonawca 
 Echo "<div id=lista><TABLE border=0 cellspacing=0 cellpadding=0><TR><TD><IMG SRC=img/nuta.jpg ALT=nuta></TD>
 <TD width=350px;><FONT SIZE=2>" . $i . ". ".$ratings['wykonawca']." - "; 
 
 //Tytuł piosenki
 Echo "" .$ratings['tytul']."</TD>"; 
 
 //Link do YouTube  
 Echo "<TD width=20px;><IMG SRC=img/strzalka.png BORDER=0 ></TD><TD width=40px;><a href=" .$ratings['adres']." target=_blank><FONT SIZE=2>Play</a></TD>";
 
 
 //Głosy na 1,2,3,4,5 
 Echo "<TD width=150px;><FONT SIZE=2>Głosuj: "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=1&id=".$ratings[id].">1</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=2&id=".$ratings[id].">2</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=3&id=".$ratings[id].">3</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=4&id=".$ratings[id].">4</a> | ";
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=5&id=".$ratings[id].">5</a> <TD/>"; 
 
  //Wstawienie średniej arytmetycznej 
 $current = $ratings['average']; 
 Echo "<TD width=50px;>Śr. " . round($current, 1) . "</TD> </TR></TABLE></FONT></div>"; 
 
 } 
 
 ?>
[PHP] pobierz, plaintext 

Kiedys dzialal ten skrypt ale nie wiem kiedy i nie wiem co zmienilem ze przestal dzialac.

Jeszcze dodam to co w mysql:

[SQL] pobierz, plaintext 
-- 
-- Struktura tabeli dla  `vote`
-- 
 
CREATE TABLE `vote` (
  `id` int(4) NOT NULL AUTO_INCREMENT,
  `wykonawca` varchar(30) character SET utf8 collate utf8_polish_ci DEFAULT NULL,
  `tytul` varchar(30) character SET utf8 collate utf8_polish_ci NOT NULL,
  `adres` text NOT NULL,
  `gatunek` SET('pop','rock','techno','rap') NOT NULL,
  `nowe` SET('tak','nie') NOT NULL,
  `polskie` SET('tak','nie') NOT NULL,
  `total` int(11) DEFAULT NULL,
  `votes` int(11) DEFAULT NULL,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=216 ;
[SQL] pobierz, plaintext 

Nikt na tym forum nie wie co jest zle w tym skrypcie?(IMG:style_emoticons/default/questionmark.gif) (IMG:style_emoticons/default/questionmark.gif) (IMG:style_emoticons/default/questionmark.gif)

Dobra mam wiem (IMG:style_emoticons/default/biggrin.gif)
Przy każdym rekordzie mialem zaznaczone null, wystarczy wszedzie je odhaczyc.
Jak to zrobic automatycznie zeby z kolumn votes i total automatycznie odchaczylo null?

[nospor]

Przy każdym rekordzie mialem zaznaczone null

Hehe (IMG:style_emoticons/default/smile.gif)

[SQL] pobierz, plaintext 
UPDATE vote SET total = 0, votes = 0
[SQL] pobierz, plaintext 

[croc]

Ustaw polom total i votes atrybut not null.

Zwróć też uwagę na post phpiona - poruszył ważną kwestię. Na chwilę obecną twój skrypt jest rajem dla psotników (IMG:style_emoticons/default/smile.gif)

[imatix]

Thx
No racja, bez problemu da sie wpisac ocene 9999 ci mija sie z celem.
Jak zmienic ten kod przy użyciu funkcji mysql_escape_string?

[PHP] pobierz, plaintext 
<?php 
 // Lączenie z baza danych 
 mysql_connect("mysql1.yoyo.pl", "xxxxx", "xxxxx") or die(mysql_error()); 
 mysql_select_db("xxxxxx") or die(mysql_error()); 
 
//Ten kod się włącza tylko gdy uzytkownik kliknie na link do głosowania
 if ( $_GET['mode']=="vote") 
 {
    $voted = $_GET['voted'];
    $id= $_GET['id'];
 
  //Kod pozwalający głosować każdemu tlyko raz.
        $cookie = "Mysite$id"; 
 	if(isset($_COOKIE[$cookie])) 
 		{ 
 		Echo "Już oddałes/as głos na ten utwór. Można głosować tylko raz. <p>"; 
 		} 
 
 //Wstawienie cookie 
 	else 
 		{ 
 		$month = 2592000 + time(); 
 		setcookie($cookie, 'Voted', $month); 
 
 
//Aktualizacja informacji o głosie przez dodanie 1 to całego głosowania i dodanie ich głosu do całosci
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id"); 
 		Echo "Głos został oddany. <p>"; 
 		} 
 } 
 
//Wstawienie informacji z MySQL
$data = mysql_query("SELECT *, total / votes AS average FROM vote ORDER BY average DESC LIMIT 0,300") or die(mysql_error());
 
 //Zapętlenie skryptu 
 for($i = 1; $ratings = mysql_fetch_array( $data ); ++$i)
 { 
 
 //Wykonawca 
 Echo "<div id=lista><TABLE border=0 cellspacing=0 cellpadding=0><TR><TD><IMG SRC=img/nuta.jpg ALT=nuta></TD>
 <TD width=350px;><FONT SIZE=2>" . $i . ". ".$ratings['wykonawca']." - "; 
 
 //Tytuł piosenki
 Echo "" .$ratings['tytul']."</TD>"; 
 
 //Link do YouTube  
 Echo "<TD width=20px;><IMG SRC=img/strzalka.png BORDER=0 ></TD><TD width=40px;><a href=" .$ratings['adres']." target=_blank><FONT SIZE=2>Play</a></TD>";
 
 
 //Głosy na 1,2,3,4,5 
 Echo "<TD width=150px;><FONT SIZE=2>Głosuj: "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=1&id=".$ratings[id].">1</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=2&id=".$ratings[id].">2</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=3&id=".$ratings[id].">3</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=4&id=".$ratings[id].">4</a> | ";
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=5&id=".$ratings[id].">5</a> <TD/>"; 
 
  //Wstawienie średniej arytmetycznej 
 $current = $ratings['average']; 
 Echo "<TD width=50px;>Śr. " . round($current, 1) . "</TD> </TR></TABLE></FONT></div>"; 
 
 } 
 
 ?>
[PHP] pobierz, plaintext 

[croc]

Samo mysql_escape_string tutaj wiele nie pomoże. Musisz przefiltrować te dane. Podpowiem ci jak to zrobić, ale tym razem nie chce mi się dawać gotowego kodu (IMG:style_emoticons/default/tongue.gif)

Musisz zrobić zmienną, która będzie określała czy ocenianie może się odbyć. Może to być np. domyślnie pusta zmienna z komunikatem. Nic nie stoi na przeszkodzie, by przechwytywała ona również błąd wynikający z obecności pliku cookie, wtedy system zacznie nabierać kształtu. Podpowiem jednak dokładnie jak można elegancko napisać filtr dla zmiennej $_GET['voted'] (najlepiej to zmień jej nazwę np. na rating, bo voted jest mało intuicyjna).

[PHP] pobierz, plaintext 
switch($_GET['voted']) {
   case 1:
   case 2:
   case 3:
   case 4:
   case 5:
      $voted = $_GET['voted'];
      break;
   default:
      $error = 'Nieprawidłowa ocena.';
}
[PHP] pobierz, plaintext 

To jest bezpieczna filtracja, bo jeśli zmienna z $_GET będzie zawierała nieprawidłową wartość, zmienna $voted w ogóle nie będzie istniała i nigdy omyłkowo jej nie użyjesz.

[imatix]

Ale to nie pomoglo, nadal mozna wpisywac znaki 999999 itd.
Jak napisac ze wartosc "voted" nalezy do naturalnych mniejszych od 6 ?

[nospor]

Ale to nie pomoglo,

Bo pewnie źle to wstawiles. Pokaz kod po tej "wstawce"

[imatix]

[PHP] pobierz, plaintext 
<?php 
 // Lączenie z baza danych 
 mysql_connect("mysql1.yoyo.pl", "xxxx", "xxxxx") or die(mysql_error()); 
 mysql_select_db("xxxxxxx") or die(mysql_error()); 
 
//Ten kod się włącza tylko gdy uzytkownik kliknie na link do głosowania
 if ( $_GET['mode']=="vote") 
 {
    $voted = $_GET['voted'];
    $id= $_GET['id'];
 
  //Kod pozwalający głosować każdemu tlyko raz.
        $cookie = "Mysite$id"; 
 	if(isset($_COOKIE[$cookie])) 
 		{ 
 		Echo "Już oddałes/as głos na ten utwór. Można głosować tylko raz. <p>"; 
 		} 
 
 //Wstawienie cookie 
 	else 
 		{ 
 		$month = 2592000 + time(); 
 		setcookie($cookie, 'Voted', $month); 
 
 
//Aktualizacja informacji o głosie przez dodanie 1 to całego głosowania i dodanie ich głosu do całosci
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id"); 
 		Echo "Głos został oddany. <p>"; 
 		} 
 } 
 
//Wstawienie informacji z MySQL
$data = mysql_query("SELECT *, total / votes AS average FROM vote ORDER BY average DESC LIMIT 0,300") or die(mysql_error());
 
 //Zapętlenie skryptu 
 for($i = 1; $ratings = mysql_fetch_array( $data ); ++$i)
 { 
 
 //Wykonawca 
 Echo "<div id=lista><TABLE border=0 cellspacing=0 cellpadding=0><TR><TD><IMG SRC=img/nuta.jpg ALT=nuta></TD>
 <TD width=350px;><FONT SIZE=2>" . $i . ". ".$ratings['wykonawca']." - "; 
 
 //Tytuł piosenki
 Echo "" .$ratings['tytul']."</TD>"; 
 
 //Link do YouTube  
 Echo "<TD width=20px;><IMG SRC=img/strzalka.png BORDER=0 ></TD><TD width=40px;><a href=" .$ratings['adres']." target=_blank><FONT SIZE=2>Play</a></TD>";
 
 switch($_GET['voted']) {
   case 1:
   case 2:
   case 3:
   case 4:
   case 5:
      $voted = $_GET['voted'];
      break;
   default:
      $error = 'Nieprawidłowa ocena.';
}
 
 //Głosy na 1,2,3,4,5 
 Echo "<TD width=150px;><FONT SIZE=2>Głosuj: "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=1&id=".$ratings[id].">1</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=2&id=".$ratings[id].">2</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=3&id=".$ratings[id].">3</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=4&id=".$ratings[id].">4</a> | ";
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=5&id=".$ratings[id].">5</a> <TD/>"; 
 
  //Wstawienie średniej arytmetycznej 
 $current = $ratings['average']; 
 Echo "<TD width=50px;>Śr. " . round($current, 1) . "</TD> </TR></TABLE></FONT></div>"; 
 
 } 
 
 ?>
[PHP] pobierz, plaintext 

[croc]

Trudno żeby działało, skoro jest w ogóle w złej części. Ten switch ma być w sekcji, która jest wykonywana podczas głosowania, a nie podczas wyświetlania danych. Próbuj dalej (IMG:style_emoticons/default/smile.gif)

[imatix]

No wiec wydaje mi sie ze ten dziala ^^:
Czy jest odporny na sql injection?

[PHP] pobierz, plaintext 
<?php 
 // Lączenie z baza danych 
 mysql_connect("mysql1.yoyo.pl", "xxxxx", "xxxx") or die(mysql_error()); 
 mysql_select_db("xxxxx") or die(mysql_error()); 
 
//Ten kod się włącza tylko gdy uzytkownik kliknie na link do głosowania
 if ( $_GET['mode']=="vote") 
 {
     switch($_GET['voted']) {
   case 1:
   case 2:
   case 3:
   case 4:
   case 5:
      $voted = $_GET['voted'];
      break;
   default:
      $error = 'Nieprawidłowa ocena.';
}
    $id= $_GET['id'];
 
  //Kod pozwalający głosować każdemu tlyko raz.
        $cookie = "Mysite$id"; 
 	if(isset($_COOKIE[$cookie])) 
 		{ 
 		Echo "Już oddałes/as głos na ten utwór. Można głosować tylko raz. <p>"; 
 		} 
 
 //Wstawienie cookie 
 	else 
 		{ 
 		$month = 2592000 + time(); 
 		setcookie($cookie, 'Voted', $month); 
 
 
//Aktualizacja informacji o głosie przez dodanie 1 to całego głosowania i dodanie ich głosu do całosci
 mysql_query ("UPDATE vote SET total = total+$voted, votes = votes+1 WHERE id = $id"); 
 		Echo "Głos został oddany. <p>"; 
 		} 
 } 
 
//Wstawienie informacji z MySQL
$data = mysql_query("SELECT *, total / votes AS average FROM vote ORDER BY average DESC LIMIT 0,300") or die(mysql_error());
 
 //Zapętlenie skryptu 
 for($i = 1; $ratings = mysql_fetch_array( $data ); ++$i)
 { 
 
 //Wykonawca 
 Echo "<div id=lista><TABLE border=0 cellspacing=0 cellpadding=0><TR><TD><IMG SRC=img/nuta.jpg ALT=nuta></TD>
 <TD width=350px;><FONT SIZE=2>" . $i . ". ".$ratings['wykonawca']." - "; 
 
 //Tytuł piosenki
 Echo "" .$ratings['tytul']."</TD>"; 
 
 //Link do YouTube  
 Echo "<TD width=20px;><IMG SRC=img/strzalka.png BORDER=0 ></TD><TD width=40px;><a href=" .$ratings['adres']." target=_blank><FONT SIZE=2>Play</a></TD>";
 
 
 
 //Głosy na 1,2,3,4,5 
 Echo "<TD width=150px;><FONT SIZE=2>Głosuj: "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=1&id=".$ratings[id].">1</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=2&id=".$ratings[id].">2</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=3&id=".$ratings[id].">3</a> | "; 
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=4&id=".$ratings[id].">4</a> | ";
 Echo "<a href=".$_SERVER['PHP_SELF']."?mode=vote&voted=5&id=".$ratings[id].">5</a> <TD/>"; 
 
  //Wstawienie średniej arytmetycznej 
 $current = $ratings['average']; 
 Echo "<TD width=50px;>Śr. " . round($current, 1) . "</TD> </TR></TABLE></FONT></div>"; 
 
 } 
 
 ?>
[PHP] pobierz, plaintext 

[croc]

Jeszcze nie. Pozostała zmienna ID. Możesz zamieniać ją na liczbę, dzięki czemu nikt nie wpisze złośliwego kodu.
Czyli zamiast tego:

[PHP] pobierz, plaintext 
$id= $_GET['id'];
[PHP] pobierz, plaintext 

To:

[PHP] pobierz, plaintext 
$id= intval($_GET['id']);
[PHP] pobierz, plaintext 

I spróbuj zrobić obsługę błędów z tą zmienną $error.