[PHP]prosze o sprawdzenie kodu Opcje

[gregov0]

skrypt dziala ale prosze o sprawdzenie i ocene czy jest bezpieczny i czy wszystko jest w nim tak jak trzeba lub co nalezy zmienic

[PHP] pobierz, plaintext 
<?php
if(isset($_POST["submit"])) {
	include ("db.php");
 
	$pyt = mysql_real_escape_string(htmlspecialchars(trim($_POST['pyt'])));
	$odpa = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpa'])));
	$odpb = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpb']))); 
	$odpc = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpc'])));
	$odpd = mysql_real_escape_string(htmlspecialchars(trim($_POST['odpd'])));
	$odppraw = mysql_real_escape_string(htmlspecialchars(trim($_POST['odppraw'])));
 
if (empty($pyt)||empty($odpa)||empty($odpb)||empty($odpc)||empty($odpd)||empty($odppraw)) { 
	echo 'Wypełnij wszystkie pola!';} 
else { 
	echo $add = mysql_query("INSERT INTO quiz(pyt, odpa, odpb, odpc, odpd, odppraw) VALUES('$pyt', '$odpa', '$odpb','$odpc','$odpd','$odppraw')"); 
}
 
 
	if ($add) {
		echo '<p>Dodano do bazy</p>';
	} else {
		echo mysql_error(); echo '<p>Błąd! Spróbuj ponownie</p>';
	}
} else {
?>
 <!-- kod formularza-->
 <form action="dodpyt.php" method="post">
<table>
<tr>
  <td align="right">Pytanie: </td>
  <td><textarea name="pyt" rows=5 cols=30 warp=phisical></textarea></td>
</tr>
<tr>
  <td align="right">Odpowiedz a: </td>
  <td><textarea name="odpa" rows=5 cols=30 warp=phisical></textarea></td>
</tr>
<tr>
  <td align="right">Odpowiedz b: </td>
  <td><textarea name="odpb" rows=5 cols=30 warp=phisical></textarea></td>
</tr>
<tr>
  <td align="right">Odpowiedz c: </td>
  <td><textarea name="odpc" rows=5 cols=30 warp=phisical></textarea></td>
</tr>
<tr>
  <td align="right">Odpowiedź d: </td>
  <td><textarea name="odpd" rows=5 cols=30 warp=phisical></textarea></td>
</tr>
<tr>
  <td align="right">Poprawna odpowiedz to: </td>
  <td><input type="text" name="odppraw"> - tu wpisz a,b,c lub d</td>
</tr>
<tr>
  <td colspan="2" align="right">
  <input type="submit" name="submit" value="Zapisz" /></td>
</tr>
</table>
</form> 
 
<?php
}
?>
[PHP] pobierz, plaintext 

Ten post edytował gregov0 1.02.2011, 21:09:12

[Piogola]

Skrypt ok, tylko po co filtrujesz dane przed sprawdzeniem, czy są wypełnione?

[darko]

Za eksperta w poprawianiu czyjego kodu się nie uważam, ale mam kilka luźnych uwag.
Z tego

[PHP] pobierz, plaintext 
 mysql_real_escape_string(htmlspecialchars(trim(
[PHP] pobierz, plaintext 

lepiej zrobić prostą funkcję. Zainteresuj się klasą PDO, naucz się z niej poprawnie korzystać i nie będziesz musiał pisać takich potworków sprawdzających przychodzące zmienne. Sprawdzaj czy długość zmiennych poszczególnych odpowiedzi nie jest większa od maksymalnej długości ustawionej w bazie dla tych danych. Znacznik textarea nie ma atrybutu warp, a wrap który jest niestandardowy i interpretowany przez niektóre wersje przeglądarek Netscape i IE. Znacznik input należy zamykać <input type="text" name="odppraw" />. Sam formularz można byłoby przyozdobić jakoś i uporządkować, zamiast jednego pola input (odppraw) wstawiłbym cztery inputy radio po każdym na odpowiedź.

http://www.answerbag.com/q_view/325939
http://stackoverflow.com/questions/263938/...sing-javascript

[Ulysess]

hmm i jaki jest sens używania htmlspecialchars przy zapisywaniu bez drukowania ?