---

Hej NG

Jeg har lavet en database i phpmyadmin, men jeg kan ikke se hvad fejlen for
den virker ikke som den skal, du kan kigge her;
http://www.bfbv.dk/gaestebog/laes.php, hele kildekoden er her:
<html>
<title>G&aelig;stebog</title>
<body bgcolor="#FFFFFF"><form action="opdater.php" method="get" name="form1"
target="_self">
<p>Læg venligst en besked: <br>
Navn: <input type="text" name="navn"</p>
<p>Email: <input type="text" name="email"</p>
<p>Besked:<br>
<textarea name="besked" rows="8"></textarea>
<input name="submit" type="button" id="submit" value="Indsend">
</p>
</form>

<hr>

Tak til de personer, som allerede har lagt en besked!

<hr>

<?php

$result = mysql_connect("localhost", "root", "kode");

mysql_select_db("bfbv_dk",$db);

$result = mysql_query(select * FROM gaestebog",$db);

while ($myrow = mysql_fetch_row($result)) {

?>

Navn: <? echo $myrow[1] ?>
<br>
Email: <? echo $myrow[2] ?>
<br>
Besked: <? echo $myrow[3] ?>
<br>

<hr>

<?
}
?>


</body>
</html>

et andet spørgsmål er kan det være rigtigt at man i koden skal skrive sin
adgangskode og brugernavn til databasen?

Med venlig hilsen
Martin Petersen

---

On Sat, 12 Jul 2003 13:27:08 +0200, Martin Petersen wrote:

> Jeg har lavet en database i phpmyadmin, men jeg kan ikke se hvad fejlen for
> den virker ikke som den skal

Hvordan optræder fejlen?

--
Christian Jørgensen | Use the Source, Luke!
http://www.razor.dk |

---

Hvordan optræder fejlen?

Se på linket

mvh
Martin Petersen

---

Martin Petersen wrote:
> Jeg har lavet en database i phpmyadmin, men jeg kan ikke se hvad
> fejlen for den virker ikke som den skal, du kan kigge her;
> http://www.bfbv.dk/gaestebog/laes.php, hele kildekoden er her:

[snip]

> $result = mysql_connect("localhost", "root", "kode");
>
> mysql_select_db("bfbv_dk",$db);
>
> $result = mysql_query(select * FROM gaestebog",$db);

Her er vist lidt forvirring omkring, hvad der der $db ,og hvad der er
$result. Det resulterer ikke i fejlen men vil skabe problemer senere.

[snip]

> $result = mysql_query(select * FROM gaestebog",$db);

Der mangler vist gåseøjne på begge sider af din query:

$result = mysql_query("select * FROM gaestebog",$db);

Jeg har dog ingen anelse om ,hvorvidt jeg rent faktisk har fat i linie 25,
som jeg fandt ud af fejlen er på. Det ville været lettere at se på, hvis du
havde givet besked om sådan noget i forvejen.


Mvh.
Kasper Garnæs

---

> > $result = mysql_connect("localhost", "root", "kode");
> >
> > mysql_select_db("bfbv_dk",$db);
> >
> > $result = mysql_query(select * FROM gaestebog",$db);
>
> Her er vist lidt forvirring omkring, hvad der der $db ,og hvad der er
> $result. Det resulterer ikke i fejlen men vil skabe problemer senere.

Jeg fulgte bare isntruktionerne som de står skrevet i bogen: databasestyrede
websider fra IDG forlaget, men hvad for en slags problemer vil det gi?

mvh
Martin Petersen

---

Martin Petersen wrote:
>>> $result = mysql_connect("localhost", "root", "kode");
>>>
>>> mysql_select_db("bfbv_dk",$db);
>>>
>>> $result = mysql_query(select * FROM gaestebog",$db);
>>
>> Her er vist lidt forvirring omkring, hvad der der $db ,og hvad der er
>> $result. Det resulterer ikke i fejlen men vil skabe problemer senere.
>
> Jeg fulgte bare isntruktionerne som de står skrevet i bogen:
> databasestyrede websider fra IDG forlaget, men hvad for en slags
> problemer vil det gi?

Så har du enten ikke fulgt den til punkt og prikke eller også er der en fejl
i bogen.

I den første linie sætter du variablen $result lig din forbindelse til
databasen. I den anden linie vælger du databasen bfbv_dk for forbindelsen i
variablen $db. Læg mærke til at du i første linie satte din forbindelse lig
$result - *ikke* $db. Faktisk er det så vidt jeg kan se første gang du
bruger variablen $db. På sidste linie udfører du så queryen på forbindelsen
i variablen $db, der stadig ikke indehoder en forbindelse.

Det jeg mener er, at du din første linie bør være:

$db = mysql_connect("localhost", "root", "kode");

Mvh.
Kasper Garnæs

---

"Martin Petersen" <martin@bfbv.dk> wrote in message
news:3f0ff086$0$32509$edfadb0f@dread16.news.tele.dk...
> Hej NG
>
> Jeg har lavet en database i phpmyadmin, men jeg kan ikke se hvad fejlen
for
> den virker ikke som den skal, du kan kigge her;
> http://www.bfbv.dk/gaestebog/laes.php, hele kildekoden er her:
> <html>
> <title>G&aelig;stebog</title>
> <body bgcolor="#FFFFFF"><form action="opdater.php" method="get"
name="form1"
> target="_self">
> <p>Læg venligst en besked: <br>
> Navn: <input type="text" name="navn"</p>
> <p>Email: <input type="text" name="email"</p>
> <p>Besked:<br>
> <textarea name="besked" rows="8"></textarea>
> <input name="submit" type="button" id="submit" value="Indsend">
> </p>
> </form>
>
> <hr>
>
> Tak til de personer, som allerede har lagt en besked!
>
> <hr>
>
> <?php
>
> $result = mysql_connect("localhost", "root", "kode");
>
> mysql_select_db("bfbv_dk",$db);
>
> $result = mysql_query(select * FROM gaestebog",$db);

select sætningen skal stå i "select... "


> while ($myrow = mysql_fetch_row($result)) {
>
> ?>
>
> Navn: <? echo $myrow[1] ?>
> <br>

jeg vil foreslå at fortsætte scriptet og skrive i stedet:
echo "Navn:".$myrow[1]."<br />\n"; <==== bemærk det første index er 0,
hvis ikke du er klar over det

> Email: <? echo $myrow[2] ?>
> <br>
> Besked: <? echo $myrow[3] ?>
> <br>
>
> <hr>
>
> <?
> }
> ?>
>
>
> </body>
> </html>
>
> et andet spørgsmål er kan det være rigtigt at man i koden skal skrive sin
> adgangskode og brugernavn til databasen?
>

ja, husk på PHP er serversite, hvilket vil sige man ikke kan få adgang til
kildekoden fra en browser, man ser kun outputtet i form af html. Men for en
sikkerheds skyld vil det sikkert være en god ide at oprette en db-bruger,
der kun har adgang til den database der har med hjemmesiden at gøre.

/Jesper

---

Nu har jeg fået det til at virke skulle man tro, men nej, prøv at indtaste
jeres navn, e-mail adresse og en besked (fake adresser og navne tillades
ligenu, de kan blive slettet), måske kan nogle se hvad fejlen er.

Med venlig hilsen
Martin Petersen

---

"Martin Petersen" <martin@bfbv.dk> wrote in message
news:3f103e2d$0$32517$edfadb0f@dread16.news.tele.dk...
> Nu har jeg fået det til at virke skulle man tro, men nej, prøv at indtaste
> jeres navn, e-mail adresse og en besked (fake adresser og navne tillades
> ligenu, de kan blive slettet), måske kan nogle se hvad fejlen er.
>
Hvad er adressen?

---

http://www.bfbv.dk/Test/laes.php, den står længere også længere oppe i denne
tråd

---

"Martin Petersen" <martin@bfbv.dk> skrev i en meddelelse
news:3f106b90$0$32447$edfadb0f@dread16.news.tele.dk...
> http://www.bfbv.dk/Test/laes.php, den står længere også længere oppe i
denne
> tråd
>
Der er vist ik ehelt styr på feltnavne i indtastningen og databasen.

Det jeg skriver i navn-feltet ender i Besked-teksten bagefter.
Navn er tomt, og Email inderholder en tom dato.

Check lige, at du får de rigtige felter sat ind de rigtige steder i
databasen.


--
Benny Nissen

---

> Der er vist ik ehelt styr på feltnavne i indtastningen og databasen.
>
> Det jeg skriver i navn-feltet ender i Besked-teksten bagefter.
> Navn er tomt, og Email inderholder en tom dato.
>
> Check lige, at du får de rigtige felter sat ind de rigtige steder i
> databasen.

Jeg skulle da nok mene det hele står som det skal, her er selve strukturen i
databasen:
CREATE TABLE gaestebog (
id int(11) NOT NULL auto_increment,
ip varchar(15) NOT NULL default '',
tid datetime NOT NULL default '0000-00-00 00:00:00',
navn varchar(100) NOT NULL default '',
email varchar(100) NOT NULL default '',
besked text NOT NULL,
UNIQUE KEY id (id)
) TYPE=MyISAM;

Og her er koden på laes.php (gæstebog):
<html>
<title>Gæstebog</title>
<body bgcolor="#FFFFFF">

<form name="form1" method="get" action="opdater.php">

<p>Læg venligst en besked: <br>
Navn:
<input type="text" name="navn">
</p>
<p> Email:
<input type="text" name="email">
</p>
<p>
<textarea name="besked" rows="8"></textarea>
</p>
<p>
<input type="submit" name="Submit" value="Indsend">
</p>
</form>

<hr>

Tak til de personer, som allerede har lagt en besked!

<hr>

<?php

$db = mysql_connect("localhost", "brugernavn", "kode");

mysql_select_db("bfbv_dk",$db);

$result = mysql_query("SELECT * FROM gaestebog",$db);

while ($myrow = mysql_fetch_row($result)) {

?>

Navn: <? echo $myrow[1] ?>
<br>
Email: <? echo $myrow[2] ?>
<br>
Besked: <? echo $myrow[3] ?>
<br>

<hr>

<?
}
?>


</body>
</html>

---

"Martin Petersen" <martin@bfbv.dk> skrev i en meddelelse
news:3f107d77$0$32524$edfadb0f@dread16.news.tele.dk...
>
> Navn: <? echo $myrow[1] ?>
> <br>
> Email: <? echo $myrow[2] ?>
> <br>
> Besked: <? echo $myrow[3] ?>
> <br>

her går det galt. Når du laver en select * retunere db'en alle kolloner. Du
skal nøjes med kun at lave en select på de kolonner du vil have. Fx: select
navn, email, besked from gaestebog. herved bliver:
$myrow[0] = navn
$myrow[1] = email
$myrow[2] =ip

Håber det kan hjælpe!?

/Jesper
4

---

Fx: select
> navn, email, besked from gaestebog. herved bliver:
> $myrow[0] = navn
> $myrow[1] = email
> $myrow[2] =ip

Ville det sige, at jeg skal udskifte mine myrow sektioner med overstående og
burde der ikke stå besked i $myrow[2]=besked istedet for ip

mvh
Martin Petersen

---

Du kan osse vælge at bruge mysql_fetch_assoc, hvilket er nemmere at
overskue:
---------
$result = mysql_query("SELECT * FROM gaestebog",$db);
while ($res = mysql_fetch_assoc($result)) {
?>

Navn: <?=$res['navn']?>
<br>
Email: <?=$res['email']?>
<br>
Besked: <?=$res['besked']?>
<br>
MVH Martin S

---

On Sun, 13 Jul 2003 00:35:29 +0200, "jec" <jesper@fastermail.com>
wrote:

>her går det galt. Når du laver en select * retunere db'en alle kolloner. Du
>skal nøjes med kun at lave en select på de kolonner du vil have. Fx: select
>navn, email, besked from gaestebog. herved bliver:
>$myrow[0] = navn
>$myrow[1] = email
>$myrow[2] =ip

skal selvfølgelig være:
$myrow[2] = besked

Alternativt, hvis du vil bruge din nuværende søgning, skal du bruge:
$myrow[3] = navn
$myrow[4] = email
$myrow[5] = besked
MVH Martin S

---

Mange tak til jer allesammen, nu virker den ihvertfald, men når jeg logger
ind på phpmyadmin og kigger på indlæggende, burde den logge IP adresserne,
dato & tid, men IP feltet er bare tomt, og datetime feltet viser bare en
masse nuller: 0000-00-00 00:00:00, jeg viser lige structuren igen, så kan
det være i kan se hvad fejlen er:

CREATE TABLE gaestebog (
id int(11) NOT NULL auto_increment,
ip varchar(15) NOT NULL default '',
tid datetime NOT NULL default '0000-00-00 00:00:00',
navn varchar(100) NOT NULL default '',
email varchar(100) NOT NULL default '',
besked text NOT NULL,
UNIQUE KEY id (id)
) TYPE=MyISAM;

MVH
Martin Petersen

---

On Sun, 13 Jul 2003 10:21:01 +0200, "Martin Petersen" <martin@bfbv.dk>
wrote:

>Mange tak til jer allesammen, nu virker den ihvertfald, men når jeg logger
>ind på phpmyadmin og kigger på indlæggende, burde den logge IP adresserne,
>dato & tid, men IP feltet er bare tomt, og datetime feltet viser bare en
>masse nuller: 0000-00-00 00:00:00, jeg viser lige structuren igen, så kan
>det være i kan se hvad fejlen er:
>
>CREATE TABLE gaestebog (
> id int(11) NOT NULL auto_increment,
> ip varchar(15) NOT NULL default '',
> tid datetime NOT NULL default '0000-00-00 00:00:00',
> navn varchar(100) NOT NULL default '',
> email varchar(100) NOT NULL default '',
> besked text NOT NULL,
> UNIQUE KEY id (id)
>) TYPE=MyISAM;
>
>MVH
>Martin Petersen
>
Så vidt jeg kan se skulle tabellen vidst være ok, men nu kender jeg jo
ikke lige den kode du bruger i opdater.php til at tilføje data til
tabellen. Men den skal vel se nogenlunde sådan her ud:
$ip = $_SERVER['REMOTE_ADDR'];
$sql="INSERT INTO gaestebog (ip, tid, navn, email, besked) VALUES
('$ip', NOW(),' $navn', '$email', '$besked')";
mysql_query($sql);
MVH Martin S

---

Så vidt jeg kan se skulle tabellen vidst være ok, men nu kender jeg jo
> ikke lige den kode du bruger i opdater.php til at tilføje data til
> tabellen. Men den skal vel se nogenlunde sådan her ud:
> $ip = $_SERVER['REMOTE_ADDR'];
> $sql="INSERT INTO gaestebog (ip, tid, navn, email, besked) VALUES
> ('$ip', NOW(),' $navn', '$email', '$besked')";
> mysql_query($sql);

Sådan her ser koden ud i opdater.php:
<?php

$db = mysql_connect("localhost", "brugernavn", "kode");

mysql_select_db("bfbv_dk",$db);

$sql = "INSERT INTO gaestebog (navn, email, besked) VALUES
('$navn','$email','$besked')";

$result = mysql_query($sql);

mail("martin@bfbv.dk","Nyt indlæg i gæstebogen fra ".$navn,$besked,"From:
".$email);

?>

Men hvis jeg smider ip og tid ind i koden, vil den så ikke blive synlig for
andre (meningen er jo at jeg som den eneste skal kunne se ip adressen, i
tilfælde af spam)

MVH
Martin Petersnen

---

On Sun, 13 Jul 2003 13:11:53 +0200, "Martin Petersen" <martin@bfbv.dk>
wrote:

>Men hvis jeg smider ip og tid ind i koden, vil den så ikke blive synlig for
>andre (meningen er jo at jeg som den eneste skal kunne se ip adressen, i
>tilfælde af spam)

Det skulle da ikke gerne være muligt, du bestemmer jo selv hvad du vil
hente ud fra tabellen, så medmindre andre har adgang til DIN database,
vil de ikke kunne se noget. Hvis du ikke bruger magic_quotes i din
php.ini kan du sikre dig ved at bruge addslashes() på det du putter i
tabellen og stripslashes() når du henter det ud.
MVH Martin S

---

On Sun, 13 Jul 2003 13:48:28 +0200, Martin Sveegaard
<sveegaard@tdcadslFJERN:DETTE.dk> wrote:

>Hvis du ikke bruger magic_quotes i din
>php.ini kan du sikre dig ved at bruge addslashes() på det du putter i
>tabellen og stripslashes() når du henter det ud.

Nej, man skal ikke bruge stripslashes på dataen, når det hentes ud.

De slashes bruges udelukkende for at ens sql-query for insert'en ikke
går i stykker. Det har intet at gøre med hvordan dataen ser ud, når
den først er blevet sat ind.

For normal tekst og lignende er det dog sjældent, at man har data
liggende, der er escape'd, når det ligger i databasen, så at køre
stripslashes() vil normalt ikke have nogen effekt. Men derfor er der
stadigvæk ingen grund til at køre den.

--
- Peter Brodersen

---

On Sun, 13 Jul 2003 15:08:01 +0200, Peter Brodersen <usenet@ter.dk>
wrote:

>On Sun, 13 Jul 2003 13:48:28 +0200, Martin Sveegaard
><sveegaard@tdcadslFJERN:DETTE.dk> wrote:
>
>>Hvis du ikke bruger magic_quotes i din
>>php.ini kan du sikre dig ved at bruge addslashes() på det du putter i
>>tabellen og stripslashes() når du henter det ud.
>
>Nej, man skal ikke bruge stripslashes på dataen, når det hentes ud.
>
>De slashes bruges udelukkende for at ens sql-query for insert'en ikke
>går i stykker. Det har intet at gøre med hvordan dataen ser ud, når
>den først er blevet sat ind.
>
>For normal tekst og lignende er det dog sjældent, at man har data
>liggende, der er escape'd, når det ligger i databasen, så at køre
>stripslashes() vil normalt ikke have nogen effekt. Men derfor er der
>stadigvæk ingen grund til at køre den.

Det er ellers ikke min erfaring, havde et eks. med "Larsen's", som
blev vist som "Larsen\'s" indtil jeg brugte stripslashes().
MVH Martin S

---

On Sun, 13 Jul 2003 16:00:14 +0200, Martin Sveegaard
<sveegaard@tdcadslFJERN:DETTE.dk> wrote:

>Det er ellers ikke min erfaring, havde et eks. med "Larsen's", som
>blev vist som "Larsen\'s" indtil jeg brugte stripslashes().

(simpelt eksempel i bunden)

I så fald har du kørt addslashes én gang for meget, når du hælder data
i databasen. Men der er ikke noget magi eller raketvidenskab over det.
Tænk over det:

$string = "Guns'n'Roses";
$query = "INSERT INTO musik (band) VALUES ('$string')";

$query vil nu indeholde:
INSERT INTO musik (band) VALUES ('Guns'n'Roses')
... og dette vil fejle, fordi de forskellige plinger (') både bruges
som en del af dataen, og for at indkapsle dataen. Her er der behov for
fx at køre addslaskes, så vores query kan se sådan ud:
INSERT INTO musik (band) VALUES ('Guns\'n\'Roses')

Dvs. de slashes bruges udelukkende af hensyn til at få query'en til at
glide ordentligt ind i databasen. Indholdet vil stadigvæk blot være
Guns'n'Roses.

INSERT INTO musik (band) VALUES ('Guns\'n\'Roses')
og
INSERT INTO musik (band) VALUES ("Guns'n'Roses")
vil fx ligeledes ende med det samme indhold i databasen. Dette er let
at bekræfte med fx phpmyadmin, ens mysql-klient, etc.

Det eneste, man kan bruge stripslashes() til, er hvis man
uhensigtsmæssigt har fået kørt addslashes(). Fx hvis man har
magic_quotes aktiveret.

Forestil dig at en person submitter til "data.php?navn=Guns'n'Roses",
og magic_quotes er aktiveret, så vil værdien af $navn være
Guns\'n\'Roses. Det kan være fint, hvis man bare skal smide dataen ind
i en query, men det er et problem, hvis man fx vil outputte brugerens
data direkte. Her bliver man fx nødt til at køre:
print stripslashes($navn)

Det går til gengæld galt, hvis brugeren submitter ovenstående (på en
server med magic_quotes aktiveret), og man så igen kører addslashes.
Fx:
$query = "INSERT INTO musik (band) VALUES ('".addslashes($navn)."')";

Her vil den endelige query så komme til at se ud som følger:
INSERT INTO musik (band) VALUES ('Guns\\\'n\\\'Roses')
hvilket vil resultere i at band-feltet bliver sat til Guns\'n\'Roses i
databasen - og det er der ingen grund til.

Hvis man er i tvivl, så kan det kun anbefales, at man i stedet for at
smide strings sammen direkte i sin mysql_query, at man så laver
query'en først i en string for sig selv - fx:

$query = "INSERT INTO musik (band) VALUES ('".addslashes($navn)."')";
print $query;
mysql_query($query);

På den måde kan du - når du tester - rent faktisk se, hvordan din
query ser ud. Problemet er, at man normalt har data mange steder fra -
udefra, fra andre databaseopslag, etc., og det måske kun er nogle af
dem, der "automagisk" har fået kørt addslashes() på sig.



Hvis du stadigvæk er i tvivl, så prøv følgende helt simple opsætning:

Først:
mysql_query("INSERT INTO tabel (navn) VALUES ('Larsen\'s')";
og derefter:
$r = mysql_query("SELECT navn FROM tabel");
print mysql_result($r,0);

Jeg får ganske enkelt outputtet: Larsen's
og samme resultat, når jeg kigger i tabellen med min mysql-klient:

mysql> select * from tabel;
+----------+
| navn |
+----------+
| Larsen's |
+----------+

--
- Peter Brodersen

---

Mange tak for den uddybende og lærerige forklaring.
Jeg er faktisk ret sikker på. at jeg har brugt addslashes i
forbindelse med magic quotes og derfor har fået tilføjet de ekstra \.
Som du er inde på. kan variabler komme fra forskellige steder og man
kan heller ikke altid være sikker på. om den enkelte server benytter
magic quotes. Derfor tænkte jeg om en mulig løsning kunne være altid
at bruge stripslashes først og derefter addslashes inden man indsætter
noget i sin database? På den måde ville man vel være sikker på. at der
kun bliver tilføjet de nødvendige \ til strengen.
MVH Martin S