Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [MSSQL][PHP]include ale na wyniku zapytania do db
m-mike
post
Post #1





Grupa: Zarejestrowani
Postów: 11
Pomógł: 0
Dołączył: 8.09.2010

Ostrzeżenie: (0%)
-----

Cześć
Mam coś takiego:
[PHP] pobierz, plaintext 
  1. $content_query="SELECT * FROM intranet_content where id='".$_GET["id"]."'";
  2. $content_result=mssql_query($content_query);
  3. $content_numRows = mssql_num_rows($content_result);
  4. echo "<strong>".iconv('cp1250' , 'UTF-8' ,$content_row["title"])."</strong><br>";
  5. echo iconv('cp1250' , 'UTF-8' ,$content_row["fulltext"]);
[PHP] pobierz, plaintext


Wszystko super, ale jak to zrobić, żeby zawartość fulltexta traktowana była jak kod php (np. załóżmy full text zawiera: 
[PHP] pobierz, plaintext 
  1. <? echo "lalallala"; ?>
[PHP] pobierz, plaintext
)
Jak to zrobić, żeby to było potraktowane jako kod? include nie zadziała w tym zakresie - można by kombinowac, żeby zawartość fulltext zapisywać w jakimś tymczasowym pliku i wtedy robić include, ale wydaje mi się, że powinna być jakaś prostsza metoda?

Dzięki
Go to the top of the page
+Quote Post
bastard13
post
Post #2





Grupa: Zarejestrowani
Postów: 664
Pomógł: 169
Dołączył: 8.01.2010
Skąd: Kraków

Ostrzeżenie: (0%)
-----

http://php.net/manual/en/function.eval.php should be enough:)
A poza tym, to dwa razy się zastanów przed wykonywaniem takiego kodu, bo to poważna luka w zabezpieczeniu, jeżeli ktoś będzie miał możliwość dodawania rekordów do tej tabeli.
Go to the top of the page
+Quote Post
m-mike
post
Post #3





Grupa: Zarejestrowani
Postów: 11
Pomógł: 0
Dołączył: 8.09.2010

Ostrzeżenie: (0%)
-----

Tak, znalazłem już ten eval.
Oczywiście, bardzo poważna luka, ale zakładam dostęp do edycji tego wyłącznie przez uprawnionych użytkowników.
Nie mam też chyba innego wyjścia - chcąc zrobić swoje rozwiązanie, które jest dość elastyczne (taki mały własny cms), i które przechowuje w bazie zarówno kod html jak i php

Z drugiej strony właśnie podczas edycji takiego pola napotykam problem. Edytując je z poziomu textarea uzywajac znaku ' mam problem z UPDATEM (rozjezdza sie, bo napotyka ten znak) a używając znaku " metoda post już sama z siebie dodaje \ (czyli jest "\)
a zatem jest problem np z zapisem takiego kodu:
[PHP] pobierz, plaintext 
  1. <?
  2. echo 'lalalalalal';
  3. ?>
[PHP] pobierz, plaintext

bo jest problem z update
takiego (wykrzacza się przez ')
[PHP] pobierz, plaintext 
  1. <?
  2. echo "lalalalalal";
  3. ?>
[PHP] pobierz, plaintext

bo zapisuje je jako:
[PHP] pobierz, plaintext 
  1. <?
  2. echo \"lalalalalal\";
  3. ?>
[PHP] pobierz, plaintext

i potem przy eval wyskakuje błąd

Ten post edytował m-mike 3.08.2011, 09:26:56
Go to the top of the page
+Quote Post
buliq
post
Post #4





Grupa: Zarejestrowani
Postów: 559
Pomógł: 93
Dołączył: 4.03.2008
Skąd: Olsztyn

Ostrzeżenie: (0%)
-----

stripslashes ?

Przed wrzuceniem do bazy: htmlspecialchars i przed eval: htmlspecialchars_decode

A to powyżej profilaktycznie (IMG:style_emoticons/default/smile.gif) Generalnie rzecz biorąc widzę ze nie za bardzo chcesz zabezpieczyć ten skrypt (IMG:style_emoticons/default/tongue.gif)
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 22.12.2025 - 21:32
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn