Výpis do Textarea – PHP – Fórum – Programujte.com

Ahoj! :)

Uvedu celý problém:

Potřebuji do textového pole <textarea>
Vypsat to co mám v databázi a následně upravit.

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
 <html>
   <head>
   <meta http-equiv="content-type" content="text/html; charset=windows-1250">
   <meta name="generator" content="PSPad editor, www.pspad.com">
   <link rel="StyleSheet" href="1.css" type="text/css">
   <title></title>
   </head>
   <body>
   <center><div class="clanek">Úprava článek</div></center>
   <center>
   <form action="1.php" method="POST">
   <input type="hidden" name="id" value="<?php echo $radek["id"];?>">
   <textarea rows="14" cols="80" name="zprava" value="<?php echo $radek["zprava"];?>">




   </textarea><br>
   <input type="submit" value="Uložit">

   </form>
   <?php
   if (isset($_GET["idu"])){
   $id=$_GET["idu"];
   $dotaz="update zpravy set zprava=\"$zprava\" where id=\"$id\"";
   $edit=mysql_query($dotaz)or die ("Nelze upravit článek");
   $radek=mysql_fetch_array($edit);


   ?>


   <?php
   require("connect.php");
   $dotaz= "select * from zpravy";
   $vysledek= mysql_query($dotaz);
   while($radek=mysql_fetch_array($vysledek)){
   echo $radek["zprava"];
   echo "<a href=\"1_uprava.php?idu=".$radek["id"]."\">Upravit</a>";
   }
   }
   ?>




   </body>
 </html>

1. PHP kód, co ti tahá data z databáze bys měl dát před formulář - teď se tam snažíš vypsat něco, co si z databáze stáhneš až potom..
2. Textarea je párový tag a nepoužívá se u něj value. Co chceš vypsat napiš mezi <textarea> a </textarea>

#2 ench

Připojen obrázek.

Připojen obrázek.

1. kazdy vstup, co davas do mysel dotazu bys mel osetrit pres mysql_real_escape_string. Predstav si, ze bych si udelal link, napr:
'1_uprava.php?idu='.urlencode('0 OR 1=1')
sql dotaz pak bude
-> update zpravy set zprava=\"$zprava\" where id=\"$id\"";
dosadis...
-> update zpravy set zprava=\"$zprava\" where id=0 OR 1=1
coz je toez jako
-> update zpravy set zprava=\"$zprava\"
coz je mimochodem prepsani vsech radku v tabulce :)

2.

<textarea rows="14" cols="80" name="zprava" value="<?php echo $radek["zprava"];?>">
To je podobny problem, kdyz vypisujes text do formulare (input, textarea), tak musis pouzit htmlspecialchars jinak ti echo provede nad kodem eval a jestlize je v tom kodu php, tak se php vykona. Napriklad by te urcite nepotesil php kod s sql prikazem DROP TABLES (nebo, tak nejak), ktery ti smaze databazi a nasledne prikaz, ktery ti smaze vsechny soubory a pak bude nasledovat prikaz, ktery zaviruje vse, kam se php dostane na serveru.
Soucasne tim prikazem prevedes i html kod, aby ti treba kod '</textarea>' neukoncil textareu a nenacpal ti tam neco jineho, treba vir pomoci js.

Jo, a za 3. (viz ench za 2.) Textarea na rozdil od inputu nema value. http://www.jakpsatweb.cz/…rmulare.html#…

echo $radek["login"]; Vepisuji do obsahu textarea, již už ne do value.

V tomto případě tam mohu mít bezpečností díry, neni to nikam pro nikoho. Jen pokus.

Jak myslis. Ale, pak se nediv, kdyz ti nejake </div> rozsype html kod :)