Beste vorgehensweise

**penizillin** · 08.02.2007, 19:08

http://tut.php-q.net/newsscript.html
und der rest der seite sind sehr empfehlenswert.

**christian000** · 08.02.2007, 19:10

wie man ein newsscript schreibt ist mir beretis geläufig

meine frage war wie man am besten das script in mein design implentiert.

Bitte meinen vorherigen post nochmal lesen, falls es dennoch noch unklar ist versuche ich es erneut zu umschreiben

**gruenspan** · 08.02.2007, 19:13

PHP-Code:


include();

require();

index.htm in index.php umbenennen, oder Deinen Server dazu bringen, auch .htm Dateien zu parsen. ;-)

**penizillin** · 08.02.2007, 19:14

Re: Beste vorgehensweise

Original geschrieben von christian000
genau so "schwachsinnig" kommt es mir vor wenn ich mein design (index.htm) in 2 teile spalte und dann am anfang bzw. ende den teil "include". ?

für eine kleine seite ist das durchaus in ordnung. dabei kannst du auch anders herum vorgehen (schaue nach "3 spalten" auf der o.g. seite).

**wahsaga** · 08.02.2007, 19:38

Re: Beste vorgehensweise

Original geschrieben von christian000
Wie binde ich mein script am besten ein, sinnlos wäre es in jede php datei das design einzubauen, genau so "schwachsinnig" kommt es mir vor wenn ich mein design (index.htm) in 2 teile spalte und dann am anfang bzw. ende den teil "include". ?

http://de.wikipedia.org/wiki/EVA-Prinzip

**ghostgambler** · 08.02.2007, 20:14

Re: Re: Beste vorgehensweise

Original geschrieben von penizillin
für eine kleine seite ist das durchaus in ordnung.

Im Endeffekt läuft doch jede Lösung darauf hinaus, außer man entschließt sich wirklich dazu Output-Buffering zu verwenden ... ansonsten ist es immer vorher ein include und hinterher einer, dazwischen der php-Code, ob man das jetzt mit Klassen, Funktionen oder direkt im Skript macht ist ja egal~ ... worauf spielst du hier an? *nicht versteht* oo,

**penizillin** · 08.02.2007, 20:23

auf templates bzw. template-engines im allgemeinen.
aber das wollte ich christian nicht antun, weil es vermutlich wie mit kanonen auf spatzen...

**unset** · 08.02.2007, 20:30

Original geschrieben von penizillin
auf templates bzw. template-engines im allgemeinen.
aber das wollte ich christian nicht antun, weil es vermutlich wie mit kanonen auf spatzen...

Besser als mit einem Spuckrohr.

Simple Suchen-und-Ersetzen-Mechanismen lassen sich auch bequem bei "kleinen" Sachen anwenden. Und halt ich für deutlich nachhaltiger, wenn man es einem "Anfänger" empfiehlt.

**penizillin** · 08.02.2007, 20:36

da hast du recht, allerdings muss man wirklich ganz klein anfangen.
sonst ist die gefahr groß, dass man einen eierlegenden wollmilchochsen wie smarty nimmt, ohne zu verstehen, wie soetwas wirklich funktioniert.

**unset** · 08.02.2007, 20:39

Es handelt sich hier ja offensichtlich um eine Person, die sich Gedanken macht und lernwillig ist. Immerhin wird darüber nachgedacht, wie "sauber" bestimmte Vorgehensweisen sind. Ich denke, so einer Person darf man auch mit solchen Dingen kommen, ohne dass sie direkt versucht ihr eigenes Browserspielchen oder eine umfangreiche Forensoftware zu schreiben

**christian000** · 09.02.2007, 13:11

Hallo,

Ersteinmal danke für die vielen (meist sinnvollen) Beiträge,
Dass es template systeme (~smarty) gibt ist mir genau so bekannt,

Ich werde dass ganze nun mithilfe dieser "3-Spalten" methode einmal versuchen und wenn dies dann funktioniert könnte ich mich mit einem templatesystem (sei es in eigenregie oder smarty) auseinandersetzen.

Dennoch Danke ;-)

**christian000** · 09.02.2007, 16:55

Hallo,

da ich kein eigenes thema nun eröffnen will werde ich hier einfach fortsetzen, ich habe mich erkundigt bezüglich
SQL-Injections

Also meine grundlage ist ein einfaches script dass mir meine news ausliest aus einer tabelle "news" und die zugehörigen kommentare aus der tabelle "kommentare".
Wenn nun kommentare in die DB eingetragen werden sollen wird zuerst überprüft ob überhaupt ein kommentar übergeben wird:

PHP-Code:


if(($_POST['name'] != "") AND ($_POST['kommentar'] != ""))

danach geprüft ob das selbe kommentar schon einmal vorhanden ist:

PHP-Code:


    $kommentare = mysql_query("SELECT kommentar from kommentare WHERE kid=".$_GET['id']." order by id DESC LIMIT 1");

    while( $row = mysql_fetch_array($kommentare))

    {

        $lastkommentar = $row['kommentar'];

    }

Hier stellt sich bereits die frage ob diese while schleife unbedingt erforderlich ist ? da nur 1 Wert ausgelesen wird --> kommentar aus der tabelle kommentare.

naja weiter, das script weis nun dass ein kommentar/name vorhanden ist und dieser nicht bereits in der DB für die selbe news drinsteht, nun wird ein neuer kommentar eingetragen:

PHP-Code:


if($lastkommentar != $_POST['kommentar'])

    $kommentareintrag= mysql_query("INSERT into kommentare SET name='".mysql_real_escape_string($_POST['name'])."', kommentar='".mysql_real_escape_string($_POST['kommentar'])."', kid='".$_GET['id']."'");

    else echo ("<b>Fehler:<br>Doppeleinträge sind nicht gewünscht</b>");

Und eingetragen, gegen SQL-Injection gehe ich mit mysql_real_escape_string vor.

mysql_real_escape_string bei php.net

ausgelesen werden die einträge mit .
nl2br
Alles schön ung gut doch wenn in einen Kommentar nun ein sonderzeichen (Bsp.: " oder ') vorkommt wird das sonderzeichen escaped ( ein \ davor), und dass bleibt nun beim auslesen dort stehen. ? kann ich dies irgendwie umgehen ?

Und nun zu meiner hauptfrage, reicht dass bereits um gegen SQL-Injection vorzugehen ?

Vielen Dank für das durchlesen,...
christian

**wahsaga** · 09.02.2007, 19:14

Original geschrieben von christian000
Alles schön ung gut doch wenn in einen Kommentar nun ein sonderzeichen (Bsp.: " oder ') vorkommt wird das sonderzeichen escaped ( ein \ davor), und dass bleibt nun beim auslesen dort stehen.

Nein, bleibt es nicht - ausser, es war schon vorher vorhanden, Stichwort magic_quotes_gpc.

**christian000** · 09.02.2007, 19:24

die lösung dass ich aber magic_quotes_gpc ausschalt ist aber glaub ich nicht gerade die beste ?
Jetzt ist die frage was man dagegen am besten unternimmt

Wird geladen... Bitte warte.

Beste vorgehensweise

Beste vorgehensweise

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar