Autor Zpráva
ango
Profil *
Mám GB a od té doby co jsem tam dal REPLACE mi zustava promenná $vzkaz_1 prázdej... nevite kde v tom mam chybu?!? thx


<?
$server="xxx"; //umístění serveru s databází
$database="xx"; //jméno připojované databáze
$login="xxx"; //login (uživatelské jméno) pro přístup k databázi
$pass="XxXxXxX"; //heslo k databázi
$table_name="gb"; //jméno tabulky v databázi


$mesic["Jan"]="Ledna ";
$mesic["Feb"]="Února ";
$mesic["Mar"]="Března ";
$mesic["Apr"]="Dubna ";
$mesic["May"]="Května ";
$mesic["Jun"]="Června ";
$mesic["Jul"]="Července ";
$mesic["Aug"]="Srpna ";
$mesic["Sep"]="Září ";
$mesic["Oct"]="Října ";
$mesic["Nov"]="Listopadu ";
$mesic["Dec"]="Prosince ";

$rok=date(" Y");$cislod=date("j ");

$cas=$cislod.$mesic[date("M")].$rok.date(" - G:i:s");


@$spojeni=MySQL_Connect("$server","$login","$pass"); if (!$spojeni): echo "<center><font size=5>Chyba při připojování k serveru... <br><a href=javascript:history.back(-1)>Zpět</a>"; exit; endif;

@$dbase=MySQL_Select_db("$database"); if (!$dbase): echo "<center><font size=5>Chyba při připojování do databáze...<br><a href=javascript:history.back(-1)>Zpět</a>";exit; endif;

@$vyber_db=Mysql_query("select * from $table_name order by ID desc;"); if (!$vyber_db): echo "<center><font size=5>Chyba při načítání databáze...<br><a href=javascript:history.back(-1)>Zpět</a>";exit; endif;


@$pocet_vzkazu=Mysql_num_rows($vyber_db);




$web_1=str_replace("<" , "&lt;" , $web);
$mail_1=str_replace("<" , "&lt" , $mail);
$nick_1=str_replace("<" , "&lt" , $nick);
$vzkaz_1 = Str_Replace("&","&amp;",$vzkaz_1);
$vzkaz_1 = Str_Replace("<","&lt;",$vzkaz_1);
$vzkaz_1 = Str_Replace(">","&gt;",$vzkaz_1);
$vzkaz_1 = Str_Replace(":)"," <img src=\"smile1.gif\" alt=\"lol\"/>",$vzkaz_1);
$vzkaz_1 = Str_Replace("beer"," <img src=\"beer.gif\" alt=\"like a BEER\"/>",$vzkaz_1);
$vzkaz_1 = Str_Replace("","<strong>",$vzkaz_1);
$vzkaz_1 = Str_Replace("
","</strong>",$vzkaz_1);
$vzkaz_1 = Str_Replace("","<em>",$vzkaz_1);
$vzkaz_1 = Str_Replace("
","</em>",$vzkaz_1);
$vzkaz_1 = Str_Replace("\n","<br />",$vzkaz_1);

if ($vzkaz_1 != "" && $nick_1 !=""):
$new_ID=$pocet_vzkazu+1;
$zapis_vzkazu=MySQL_Query("insert into $table_name values ('$new_ID','$nick_1', '$mail_1' , '$web_1' , '$vzkaz_1' , '$cas' , '$REMOTE_ADDR');");
if (!$zapis_vzkazu):
echo "<center><font size=5>Vzkaz nebyl zapsán :-( <br> Důvod : ";
echo MySQL_Error();echo "<br><a href=javascript:history.back(-1)>Zpět</a>";
exit;
else: echo "Vzkaz byl úspěšně zapsán...";
endif;
elseif ($nick_1 == ""): echo "<center><font size=5>Nebyl zadán Nick !!!<br><a href=javascript:history.back(-1); > Zpět </a>";exit;
elseif ($vzkaz_1 == ""): echo "<center><font size=5>Nebyl zapsán žádný vzkaz !!!<br><a href=javascript:history.back(-1); > Zpět </a>";exit;

endif;


echo "<script>location.href='index.php'</script>";
header("Location: index.php")

?>
krteczek
Profil
ten tvůj několikařádkový převod nahraď funkcí htmlspecialchars(); všechny nevhodné znaky převede na bezpečné řetězce, jen v ní nedefinuj povolené tagy, javascript je prevít!
a smajlíky snadno nahradíš:

$nahrady = array(
":)" => "<img src="obr1">",
":(" => "<img src="obr2">",
":P" => "<img src="obr3>",
"d:)" => "<img src="obr4">"
);
$text = strtr($text, $nahrady);

krteczek
ango
Profil *
LOL, thx :-) - jo XSS je pekny prase.. a pomoci tech NAHRAD muzu myslis udelat i ty [tagy] ? :-) thx!
Toto téma je uzamčeno. Odpověď nelze zaslat.

0