Script check

Jackie · 14 December 2010

Ik ben een mafia spel aan het maken, text based natuurlijk.

Ik heb nou eindelijk het berichtensysteem af, een paar fouten tegengekomen en verbeterd.

message.php

PHP

<?php
/*
copyright: Youri van Mill
date:      12-12-2010
filename:  /message/index.php
*/


error_reporting(0);


include($_SERVER['DOCUMENT_ROOT'] . "/includes/config.inc");


if(!isset($_SESSION['nickname']))
{
    header("location: /index.php");
    die();
}


echo("<html>
<head>
    <link type=\"text/css\" href=\""  . CSS_INCLUDE_DIR . "/style.css\" rel=\"stylesheet\">
    <meta http-equiv=\"Content-Type\" content=\"text/html; charset=ISO-8859-1\">
    
    <title>xxxx</title>
</head>
<body>" . PHP_EOL);


if($_GET['option'] == "new")
{
    if(!isset($_POST['submit']))
    {
        echo("<table width=\"50%\" align=\"center\">
    <form action=\"/message/index.php?option=new\" method=\"post\">
        <tr>
            <td colspan=\"2\" class=\"title\">Nieuw bericht maken</td>
        </tr>
        <tr>
            <td>Ontvanger:</td>
            <td><input type=\"text\" name=\"to\" value=\"" . htmlentities($_GET['to']) . "\"></td>
        </tr>
        <tr>
            <td>Onderwerp:</td>
            <td><input type=\"text\" name=\"subject\" value=\"" . htmlentities($_GET['subject']) . "\"></td>
        </tr>
        <tr>
            <td colspan=\"2\"><textarea cols=\"45\" rows=\"15\" name=\"msg\"></textarea></td>
        </tr>
        <tr>
            <td colspan=\"2\"><input type=\"submit\" name=\"submit\" value=\"Verstuur\"></td>
        </tr>
    </form>
</table>");
    }
    else 
    {
        $sql = mysql_query("SELECT nickname 
                            FROM members 
                            WHERE nickname = '" . mysql_real_escape_string($_POST['to']) . "'"); 


        if(empty($_POST['to']))
        { 
            echo("Je bent vergeten in te vullen naar wie je het bericht wilt versturen."); 
        } 
        elseif(!ctype_alnum($_POST['to']))
        {
            echo("Ongeldige invoer.");
        }
        elseif(empty($_POST['msg']))
        { 
            echo("Je moet wel een bericht versturen."); 
        }
        elseif($_POST['to'] == $data['nickname']) 
        { 
            echo("Je kan geen bericht naar jezelf verzenden."); 
        } 
        else 
        { 
            if(mysql_num_rows($sql) == 0)
            { 
                echo("Deze persoon bestaat niet."); 
            } 
            else 
            {
                echo("Je bericht is verzonden."); 


                mysql_query("INSERT INTO 
                             logs_message 
                             (timestamp,
                             ip,
                             info) 
                             VALUES 
                             ('" . time() . "',
                             '" . $_SERVER['REMOTE_ADDR'] . "',
                             '" . strtolower($data['nickname']) . " send a message to " . strtolower($_POST['to']) . "')");


                mysql_query("INSERT INTO 
                             message 
                             (timestamp,
                             ip,
                             `from`,
                             `to`, 
                             subject, 
                             msg) 
                             VALUES 
                             ('" . time() . "',
                             '" . $_SERVER['REMOTE_ADDR'] . "',
                             '" . strtolower($data['nickname']) . "', 
                             '" . strtolower($_POST['to']) . "', 
                             '" . addslashes($_POST['subject']) . "', 
                             '" . addslashes(htmlentities($_POST['msg'])) . "')");
            } 
        } 
    }
}
elseif($_GET['option'] == "inbox")
{
    echo("<table width=\"50%\" align=\"center\">
    <tr>
        <td class=\"title\" colspan=\"3\">Inbox</td>
    </tr>" . PHP_EOL);


    $sql = mysql_query("SELECT *
                        FROM message
                        WHERE `to` = '" . $data['nickname'] . "'");


    echo("    <tr>
        <td>Onderwerp</td>
        <td>Datum</td>
        <td>&nbsp;</td>
    </tr>" . PHP_EOL);


    if(mysql_num_rows($sql) == 0)
    {
        echo("    <tr>
        <td colspan=\"3\">Geen nieuwe berichten.</td>
    </tr>");
    }
    else
    {
        while($res = mysql_fetch_assoc($sql))
        {
            echo("    <tr>
        <td><a href=\"/message/index.php?option=read&message_id=" . $res['id'] . "\">" . $res['subject'] . "</a></td>
        <td>" . strftime("%e-%m-%Y, %H:%M", $res['timestamp']) . "</td>
        <td><a href=\"/message/index.php?option=delete&message_id=" . $res['id'] . "\">Verwijder</a></td>
    </tr>");
        }
    }
    
    echo(PHP_EOL . "</table>");
}
elseif($_GET['option'] == "read")
{
    $sql = mysql_query("SELECT *
                        FROM message
                        WHERE id = '" . mysql_real_escape_string($_GET['message_id']) . "' AND `to` = '" . $data['nickname'] . "'");


    if(!isset($_GET['message_id']))
    {
        echo("Geen bericht geselecteerd.");
    }
    else
    {
        if(!ctype_digit($_GET['message_id']))
        {
            echo("Ongeldig ID.");
        }
        else
        {
            if(mysql_num_rows($sql) == 0)
            {
                echo("Dit bericht bestaat niet of is niet naar jou verzonden.");
            }
            else
            {
                $res = mysql_fetch_assoc($sql);


                if($res['read'] == "no")
                {
                    mysql_query("UPDATE message
                                 SET `read` = 'yes'
                                 WHERE id = '" . mysql_real_escape_string($_GET['message_id']) . "'");
                }
                else
                { 
                    /* lets do nothing */
                }


                echo("<table width=\"50%\" align=\"center\">
    <tr>
        <td class=\"title\" colspan=\"2\">Bericht lezen</td>
    </tr>
    <tr>
        <td width=\"50%\">Onderwerp:</td>
        <td width=\"50%\">" . $res['subject'] . "</td>
    </tr>
    <tr>
        <td width=\"50%\">Datum:</td>
        <td width=\"50%\">" . strftime("%e-%m-%Y, %H:%M", $res['timestamp']) . "</td>
    </tr>
    <tr>
        <td colspan=\"2\">Bericht:</td>
    </tr>
    <tr>
        <td colspan=\"2\">" . stripslashes($res['msg']) . "</td>
    </tr>
</table>");
            }
        }
    }
}
elseif($_GET['option'] == "delete")
{
    $sql = mysql_query("SELECT *
                        FROM message
                        WHERE id = '" . mysql_real_escape_string($_GET['message_id']) . "' AND `to` = '" . $data['nickname'] . "'");
                        
    if(!isset($_GET['message_id']))
    {
        echo("Geen bericht geselecteerd.");
    }
    else
    {
        if(!ctype_digit($_GET['message_id']))
        {
            echo("Ongeldig ID.");
        }
        else
        {
            if(mysql_num_rows($sql) == 0)
            {
                echo("Dit bericht bestaat niet of is niet naar jou verzonden.");
            }
            else
            {
                echo("Bericht verwijderd.");
            
                mysql_query("INSERT INTO 
                             logs_message 
                             (timestamp,
                             ip,
                             info) 
                             VALUES 
                             ('" . time() . "',
                             '" . $_SERVER['REMOTE_ADDR'] . "',
                             '" . $data['nickname'] . " deleted message id: " . $_GET['message_id'] . "')");
            
                mysql_query("DELETE FROM message
                             WHERE id = '" . mysql_real_escape_string($_GET['message_id']) . "'");
            }
        }
    }
}
else
{
    echo("Selecteer een optie.");
}


echo(PHP_EOL . "</body>
</html>");
?>

Toon Meer

Al het commentaar is welkom, slecht en goed.
Zeg maar wat jullie er van vinden, en wat je zelf zou veranderen.

:cheer:

RDMNL2010 · 14 December 2010

ziet er op zich wel netjes uit! zal je even per msn wat dingen nog vertellen;)

Jackie · 14 December 2010

EDIT;
RDMNL2010
Bedankt voor je reactie we praten wel verder haha.

Iemand anders?

Bever · 15 December 2010

Als ik jou was zou ik zoon echo gebruiken:

PHP

Echo'hier html';

Inplaats van met "hier je text" ik vind het namelijk altijd maar slordig al die backslashes. En het is natuurlijk minder overzichtelijk.

Jackie · 15 December 2010

Bedank voor je reactie Bever.

Ik hou het bij:

PHP

echo("<td class=\"title\">Welkom</td>");

Omdat ik het zelf mooier vind.

Nog iemand anders?

Jackie · 15 December 2010

Hoe wil je dat dan doen?

PHP

<?php
if($res == false)
{
?>
    html??
<?php
}
?>

??

NielsB · 15 December 2010

Grote stukken html kan je beter uit php halen , dit scheelt ook veel voor de netheid.
Verder waarom gebruik je niet echo '';? is net iets sneller scheelt niet veel maar scheelt weer paar miliseconden!

Voor de rest waarom gebruik je in database zelf read met een varchar waar door je yes en no doet terwijl als je cijfers gebruikt met een integer dit sneller werkt!

Ook snap ik het nut niet van je mysql_escape_string die je over een id doet terwijl die id ook gewoon kan beveiligen met een inter val erom heen te zetten zoals (int) $id .

Ik geef dit als tips het moet niet maar kan wel schelen.
Mocht je ooit problemen hebben en andere mensen willen je helpen scheelt het ook dat zij alles sneller kunnen vinden als het netjes is opgebouwd. Het is zeer belangrijk dat programmeurs zijn / haar code netjes opbouwen zodat iedereen er aan kan werken, dit zie je vaak bij opensource of bij bedrijven onderling met collega's dat zij coding regels hebben samengesteld waar ze zich aan moeten houden.

Jackie · 15 December 2010

Oke bedankt voor de tips.

Hoe doe je dat dan met die (int) $id;

Kan je me dat laten zien in een voorbeeldje?

Creativ3 · 15 December 2010

Je kunt genoeg doen om html uit php te halen template parser of oophp scripten! succes ermee!

NielsB · 15 December 2010

Citaat

Je kunt genoeg doen om html uit php te halen template parser of oophp scripten! succes ermee!

je kan het ook gewoon via functions doen, maar genoeg mogelijkheden klopt

@ts

Let op als het id niet alleen uit cijfers bestaat kan het niet he!

Voorbeeld:

PHP

"SELECT * FROM message WHERE id = '" . (int) $_GET['message_id'] . "';"

Jackie · 15 December 2010

Wat doet die (int) dan, alleen maar een getal eruit halen? Controleren of het een getal is (zo niet fout weergeven?)

Patrick · 15 December 2010

(int) maakt van de er na komende variable een integer

Stefan.J · 15 December 2010

Om er achter te komen wat de casting naar een integer (met (int)) precies doet kun je natuurlijk gewoon een testje schrijven:

PHP

<?php 


echo '123:' . (int) '123';
echo '1ab:' . (int) '1ab';
echo '1.23:' . (int) '1.23';
echo '1,23:' . (int) '1,23';
echo '1ab23:' . (int) '1ab23';
echo 'ab123:' . (int) 'ab123';
echo '9999999999999999999999999' . (int) '9999999999999999999999999';


?>

Toon Meer

Dit laat je al een stuk beter zien wat de casting doet dan dat ik en anderen in woorden kunnen uitleggen. http://www.php.net heeft ook een pagina die dit uitlegt:

http://nl.php.net/manual/en/function.intval.php

intval() is een functie die niets anders is dan een alias voor de casting van een string naar een integer.

Verder kun je met templates je HTML netjes scheiden van PHP. Maar of dit iets is waar jij je nu al in moet verdiepen vraag ik me af. Je kunt denk ik beter eerst meer over PHP leren.

thexerox · 15 December 2010

Maak er toch een class van
Gaat je later veel meer plezier aan hebben!

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

Script check

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen

Gebruikers die dit topic bekijken