motore guestbook php xml

[mariano.martucci]

beh tem per il discorso degli escape io utilizzo altro sistema
diciamo che ho creato una piccola libreria di funzioni che mi lavora sulla validazione degli input...e sono funzioni diverse a secondo degli array superglobali che tratto

per i post ad esempio utilizzo l'insieme di tre funzioni
in effetti oltre a controllare il magic_quotes_gpc controllo anche
il magic_quotes_runtime ed invece dell'addslashes per l'escape nel db
utilizzo l'escape di mysql mysql_escape_string()

quindi
- una funzione x ricevere i valori da post
- una funzione per inviare invio a db
- una funzione per ricevere da db dopo query

Code:

//ricevo da post
////////////////////////////////////////////////////////////////////////////////	
function ricevoPost($str)
{
	$str=strip_tags($str);
	if(get_magic_quotes_gpc()){$str=stripslashes($str);}
	$str=nl2br($str);	
		
	return $str;
}
////////////////////////////////////////////////////////////////////////////////		
		

//insert db
////////////////////////////////////////////////////////////////////////////////	
function invioDb($str)
{
	$str=mysql_escape_string($str);
	return $str;
}
////////////////////////////////////////////////////////////////////////////////	


//da db
////////////////////////////////////////////////////////////////////////////////	
function ricevoDb($str)
{
	if(get_magic_quotes_runtime())
	{
		$str=stripslashes($str);
	}
	return $str;
}

un esempio con un po di codice del mio metodo

innanzitutto creo degli array per dividere i dati filtrati (ripuliti)
e quello escape (pronti per l'invio al db),
in tal modo nella mia applicazione so sempre con quali dati sto lavorando
(dopo un piccolo studio su php sicurezza ho visto che è tra i metodi piu utilizzati ;-) )

quindi immaginando di passare un valore da form dal campo mio_campo :

Code:

//creazione array
$clean=array(); //array dati filtrati
$html=array();  //array dati escape

//ricevo da form  
$mio_camporicevoPost($_POST['mio_campo'])

//effettuo poi i soliti controlli 
//(campi non vuoti o corrispond. ad una maschera di input)

//metto i dati negli array 
$clean['mio_campo']=$mio_campo; //array di dati ripuluti
$html['mio_campo']=invioDb($clean['mio_campo']);//array di dati pronti per il db

$html['mio_campo'] //variabile (o meglio valore dell'array associativo)
ripulito che uso per inviare a db

///////////////////////////////////////
//nel momento in cui ho bisogno di ricevere il dato dal db invece
//.....
$mio_campo=ricevoDb($row['mio_campo']);
//.....

ciao ciao e buon lavoro

[tem]

beh così è un'altro sport.. giocato in un'altro campo.. con diverso numero di giocatori!!

grazie mille!!!! naturalmente t' ho già aggiunto nei php credits..
(già nel precedente zip.)

aggiungo anche queste funzioni e riposto ..
ti va poi di fare un check per vedere se è tutto liscio?? :)

a presto!!

[mariano.martucci]

kk tem ...
(vedi che ti sto inviando un msg pvt)

[tem]

Hola!
ecco il nuovo motore..
adesso è un'unico file: add_guest.php che da come answer=true

il file è diviso in 2:
l'azione di default fa l'inserimento a database e scrive il file xml. answer=true
l'azione lista scrive solo il file xml (per visualizzare le pagine successive) answer=true

l'azione scritta nei link all'interno dell'xml è quindi lista + il numero di result da cui partire.

l'output dell'xml è sempre lo stesso.
la richiesta deve provenire dalla pagina guestbook.htm

ho fatto delle prove e per girare gira..
se hai voglia di darci un occhio Mariano.. che non vorrei aver lasciato in giro qualche castroneria..

ps mi devi anche dire se ho trattato correttamente le magic etc!!

il link è:
http://www.thetconcept.com/flepstudi...book_beta4.zip

a prest'!! :)

[Flep]

Ciao tem, grandioso il lavoro che state facendo :)

Alcuni dubbi:
1- l' azione del PHP ( default o lista ) gli e la devo comunicare da Flash ?
2- la richiesta deve provenire da guestbook.htm.... se la chiamo da Flash mi da errore ?

[tem]

Hola Flep!

i link delle pagine scritti nell'xml includono già l'azione lista con il relativo numero di inizio..

per quanto riguarda la provenienza della richiesta..
se il flash è montato in guestbook.htm la richiesta dovrebbe essere accettata..
nel caso ci fossero problemi fammi sap che tolgo quel controllo...

il file da modificare è includes/setup.php
poi install.php per l'installazione..
guestbook.htm dovrebbe montare il flash..

per qualsiasi ulteriore modifica.. no problem!!

a presto! :)

[mariano.martucci]

ciao tem sembra tutto ben fatto.........

pero non vorrei errare in showguestbook.php dopo la query per mostrare i dati ...
i dati non sono stati passati per la funzione ricevoDb() , quindi non depurati dello slash

per quanto riguardo poi i get la funzione è leggermente diversa dai post contempla anche l'urlencode

Code:

function invioGet($str)
{
	$str=urlencode($str);
	if(!get_magic_quotes_gpc()){$str=addslashes($str);}
	return $str;	
}
////////////////////////////////////////////////////////////////////////////////		

//ricevo da get
////////////////////////////////////////////////////////////////////////////////		
function ricevoGet($str)
{
	if(get_magic_quotes_gpc())
	{
		$str=stripslashes($str);
	}
	return $str;
}

ciao ciao e buon lavoro

[Flep]

Tem, cosa faccio ?

Aspetto che fai le modifiche che state discutento tu e Mariano ? Oppure inizio a fare delle prove ?

[tem]

Hola Flep!
ho fatto le correzioni..
http://www.thetconcept.com/flepstudi...book_beta4.zip

tu quando vuoi puoi cominciare a lavorarci..
l'output xml è sempre lo stesso di partenza (a parte per gli \ ' ") e l'answer è sempre answer=true

se ci sono futuri cambiamenti basterà spostare la pagina guestbook.htm su cui lavori nell'eventuale nuova cartella..

Grazie Mariano per le ultime dritte.. adesso forse.. e dico forse.. (che non si sa mai..)
ho capito!

cmq se ci dai un'ultimo controllo sarei + sicuro :)!

a prest''!!

[mariano.martucci]

sembra tutto ok.......
mi complimento per il vs lavoro :-p

ditemi quando posso inserire i commenti quando quando quando ehehehe
:-p