Skocz do zawartości

pobieranie ze zmiennej


Berst
 Udostępnij

Rekomendowane odpowiedzi

Jasne, tylko ta listra rozwijana musiałaby być w formularzu powiedzmy GET, który dane wysyła na 2.php, wtedy w 2.php coś takiego:

mysql_query( "SELECT * FROM `server` WHERE typ = '".$_GET['NAZWAPOLAZFORMULARZA']."'" ); 

Tylko uważaj, bo to co pokazałem ma SQL Injection i wypada w trakcie przefiltrować to co jest wysyłane przez formularz. ;)

Odnośnik do komentarza
Udostępnij na innych stronach

<?php 


   require "class.hlsocket.php"; 

    require_once('config.php'); 



    $wlasciciel = ''.$_SESSION['nick'].'';

   $wlasciciel = $_GET['wlasciciel']; 

mysql_query( "SELECT * FROM `server` WHERE wlasciciel = $wlasciciel" );    

   $data = array(); 

   while ( $row = mysql_fetch_assoc( $query ) ) 

   { 

       $ip = explode( ":", $row['ip'] ); 

       $status = new HLSocket( $ip[0], $ip[1] ); 


       $array = $status->details(); 

       if ( empty( $array['hostname'] ) ) 

       { 

           continue; 

       } 

       $array["gra"] = $row["gra"]; 

       $array["typ"] = $row["typ"]; 

       $array["ip"] = $row["ip"]; 



       $data[] = $array; 

   } 


   foreach ( $data as $server ):    
>[/code]

Nie działa :<

Odnośnik do komentarza
Udostępnij na innych stronach

Nydylier, mówiłem już o tym. Sama funkcja addslashes() słabo filrtuje, polecam stworzyć sobie jakąś funkcję i przez nią puszczać dane od użytkownika, np.:



function clear($t) {

	$t = trim($t);

	$t = mysql_real_escape_string($t);

	$t = htmlspecialchars($t);

	return $t;

}


PS Czemu twój awatar dziwnie przypomina mi awatar Gynvaela? ;)

Odnośnik do komentarza
Udostępnij na innych stronach

sgan, addslashes to zabezpieczenie przed sqli, jest standardem, a:

trim() - usuwa tylko białe znaki z początku i końca stringu, a może ktoś chce je uwzględnić, a białe znaki nie wpływają na bezpieczeństwo

mysql_real_escape_string() - dużo o tej funkcji nwm, ale jest to raczej to samo co addslashes, tylko że podłączone pod klase bibliotekę php mysql

htmlspecialchars() - usuwa znaczniki html i to samo ck z trim() (nie wpływa to na bezpieczeństwo i może ktoś chce uwzględnić html)

Co do avatara, tego kogoś nie znam, zaraz poszukam. :D

Odnośnik do komentarza
Udostępnij na innych stronach

Nydylier, addslashes jest standardem? mysql_real_escape_string jest standardem, bo jest bezpieczniejszy niż addslashes(). Przykład zbypassowania addslashes():

http://hakipedia.com/index.php/SQL_Injection#Filter_Bypassing

trim() dodaję dla zasady, przyzwyczajenie. ;)

Jeśli chodzi o htmlspecialchars() to nie wiem czemu porównujesz go z trim(), zamienia on znaki specjalne na znaczniki HTML. Z całą pewnością się do tego przydaje, choćby przed atakiem XSS, tego błędu akurat tu nie ma, ale tak jak mówię, podaję tylko PRZYKŁAD funkcji. Wszystko zależy od tego kto co filtruje. ;)

Odnośnik do komentarza
Udostępnij na innych stronach

Na pierwszej stronie mam tak:


Free For All 
Call of Duty Mod 
Inne 
Only DD2 
4Fun 
Battlefield Mod 
JailBreak 
Zombie Mod 
PaintBall Mod 
DeathRun 
Aim 
Team Play 
DeadMatch 
GunGame 
Diablo Mod 
Surf 
Hide And Seek 
EasyBlocks 



To działa bo na drugiej stronie przez echo wyświetla
 

$o = $_GET['o'];

echo $o;





mysql_query( "SELECT * FROM `server` WHERE typ = ".$_GET['o']."" );    

   $data = array(); 

Ale dodanie zmiennej do typ już nie może źle coś przepisałem nie wiem nie widzę tego

Odnośnik do komentarza
Udostępnij na innych stronach

Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
 Udostępnij

×