[MySQL][PHP]Problem z instrukcjami i dodawaniem rekordów do bazy danych. Opcje

[Croos22]

Dobry wieczór!

Wymyśliłem dziś prosty sposób na wysyłanie prywatnych wiadomości. Tylko, że pojawiło się klika problemów kod pomimo tego że wykonuje się cały nie zwraca uwagi na else a chodzi o to że jeśli wcześniejsze warunki spełnione to dopiero.

Tabela wygląda tak:

[PHP] pobierz, plaintext 
CREATE TABLE `wiadomosci` (
`id_pw` INT NOT NULL AUTO_INCREMENT ,
`tytul` VARCHAR( 150 ) NOT NULL,
`tresc` VARCHAR( 250 ) NOT NULL,
`login_wysylajacego` VARCHAR( 40 ) NOT NULL,
`login_odbierajacego` VARCHAR( 40 ) NOT NULL,
`data_wyslania` VARCHAR( 10 ) NOT NULL,
PRIMARY KEY ( `id_pw` ) 
);
[PHP] pobierz, plaintext 

A kod tak:

[PHP] pobierz, plaintext 
<?php
include('baza.php');
 
echo "<table><tr><form action='wyslij.php' method=post>";
	echo "<td>Nazwa odbiorcy:</td> <td><input class=formularz type=text name=odbiorca></td></tr>";
	echo "<td>Tytuł:</td> <td><input type=text name=tytul></td></tr>";
	echo "<tr><td>Tresc:</td> <td><textarea type=text name=tresc size=5 maxlength=20></textarea></td>";
	echo "<tr><td><input type=submit name=submit value='Wyślij'></td></tr>";
	echo "</form></table>";
 
	 $ja = mysql_fetch_array(mysql_query("SELECT user_login FROM `users` WHERE `user_login` = 'admin' "));
     $odbiorcaa = mysql_fetch_array(mysql_query("SELECT user_login FROM `users` WHERE `user_login` = '$odbiorca' "));
 
$data = date("Y-m-d");
if(isset($_POST['submit'])){
if(empty($_POST['odbiorca'])){
echo 'Nie podano do kogo ma wysłać';
}
if(empty($_POST['tresc'])){
echo 'Nie można wysłać pustej wiadomości.';
}
if($ja == $odbiorca ){
echo 'Nie możesz wysyłać wiadomości do siebie samego.';
} else {
echo 'Wiadomość została wysłana.';
mysql_query("insert into wiadomosci values(NULL, '".htmlspecialchars($_POST["tytul"])."', '".htmlspecialchars($_POST["tresc"])."', '".$ja."', '".$_POST["odbiorca"]."', '".$data."',)");
}
}
 
?>
[PHP] pobierz, plaintext 

[Tomplus]

Bo nie wiem czy przypadkiem zmienna
$odbiorca to u Ciebie to samo co $_POST["odbiorca"]

sprawdz linie gdzie jest
if ($ja == $odbiorca)
i popraw zmienną na $_POST["odbiorca"]

Ten post edytował Tomplus 12.02.2011, 21:11:23

[Croos22]

Zmienna odbiorcaa to ta w której wyciągam dane z bazy a odbiorca odpowiada za dane wpisane do formularza.

Dałem jeszcze poprawkę przy wyciąganiu danych z bazy osoby wpisanej w formularz:

[PHP] pobierz, plaintext 
$odbiorcaa = mysql_fetch_array(mysql_query("SELECT user_login FROM `users` WHERE `user_login` = '$_POST['odbiorca']' "));
[PHP] pobierz, plaintext 

Ten post edytował Croos22 12.02.2011, 21:18:31

[sada]

nigdzie nie widzę zmiennej $odbiorca

[Croos22]

Przepraszam źle się wyraziłem chodziło mi o pole tekstowe które w name ma "odbiorca".

[sada]

A to ?

[PHP] pobierz, plaintext 
if($ja == $odbiorca ){
[PHP] pobierz, plaintext 

[Croos22]

Zrobiłem już poprawkę w kodzie jak radził pan Tomplus $_POST['odbiorca']
Ale dlaczego wyświetla całą stronę. Gdy nie wypełnię formularzy powie mi to komunikatem który dałem w echo ale również wyświetli, że wiadomość została wysłana ale tu pojawia się drugi problem ponieważ nie dodaje mi rekordów do bazy.

Po poprawkach kod wygląda tak:

[PHP] pobierz, plaintext 
<?php
include('baza.php');
 
echo "<table><tr><form action='wyslij.php' method=post>";
	echo "<td>Nazwa odbiorcy:</td> <td><input class=formularz type=text name=odbiorca></td></tr>";
	echo "<td>Tytuł:</td> <td><input type=text name=tytul></td></tr>";
	echo "<tr><td>Tresc:</td> <td><textarea type=text name=tresc size=5 maxlength=20></textarea></td>";
	echo "<tr><td><input type=submit name=submit value='Wyślij'></td></tr>";
	echo "</form></table>";
 
	 $ja = mysql_fetch_array(mysql_query("SELECT user_login FROM `users` WHERE `user_login` = 'admin' "));
$odbiorcaa = mysql_fetch_array(mysql_query("SELECT user_login FROM `users` WHERE `user_login` = '$_POST['odbiorca']' "));
 
$data = date("Y-m-d");
if(isset($_POST['submit'])){
if(empty($_POST['odbiorca'])){
echo 'Nie podano do kogo ma wysłać';
}
if(empty($_POST['tresc'])){
echo 'Nie można wysłać pustej wiadomości.';
}
if($ja == $_POST['odbiorca'] ){
echo 'Nie możesz wysyłać wiadomości do siebie samego.';
} else {
echo 'Wiadomość została wysłana.';
mysql_query("insert into wiadomosci values(NULL, '".htmlspecialchars($_POST["tytul"])."', '".htmlspecialchars($_POST["tresc"])."', '".$ja."', '".$_POST["odbiorca"]."', '".$data."',)");
}
}
 
?>
[PHP] pobierz, plaintext 

[emajl22]

1. usuń te htmlspecialchars bo to i tak nic Ci nie daje...
2. daj po IFach gdzie walidujesz (tam gdzie błędy) return false;
3.

[PHP] pobierz, plaintext 
mysql_query("INSERT INTO `wiadomosci` values (null, '".$_POST["tytul"]."', '".$_POST["tresc"]."', '$ja', '".$_POST["odbiorca"]."', '$data')");
[PHP] pobierz, plaintext 

[Croos22]

Dzięki wielkie za pomoc dorzuciłem do tego sesje i śmiga jak należy. Mam jeszcze pytanie czy jeśli post-em przekazuje do zapytania dane to czy one są odpowiednio zabezpieczone przed innymi osobami niż ta która została wpisana w polu nazwa odbiorcy?

[emajl22]

Nie, nie są.

zapoznaj się z pojęciami sql injection i xss.

Ten post edytował emajl22 13.02.2011, 13:45:21