Show News

sprintf("SELECT * FROM [tabel] WHERE id='%s'", addslashes($_GET['ID']);

Det burde virke

/y

Link eksempel :
<a href="index.php?side=show_news&id=5">Nyhed</a>
Jeg ved jo ikke hvordan din nyhedstabel ser ud, så jeg har gættet mig frem..
Eksempel på at hente nyhed :
<?
//skab forbindelse til din db her..
$get_id = $_GET['id'];//hent id´et (5 er id´et)
$hent_nyhed = mysql_query("SELECT * FROM din nyhedstabel WHERE id = '$get_id'")or die('MYSQL QUERY ERROR : ' . mysql_error());//Hent nyheden fra databesen
if(mysql_num_rows($hent_nyhed) == 0)){ //vi tjekker om nyheden findes :)
echo"Kunne ikke finde nyheden!";
}else{//vi fandt nyheden lad os printe den ud !
$nyhed = mysql_fetch_array($hent_nyhed);
echo"$nyhed[overskrift]<br>";
echo"$nyhed[tekst]";
}
?>
Håber du kan bruge dette til noget.

Rettelse :
<a href="index.php?side=show_news&id=5">Nyhed</a>
Jeg ved jo ikke hvordan din nyhedstabel ser ud, så jeg har gættet mig frem..
Eksempel på at hente nyhed :
<?
//skab forbindelse til din db her..
$get_id = $_GET['id'];//hent id´et (5 er id´et)
$hent_nyhed = mysql_query("SELECT * FROM din nyhedstabel WHERE id = '$get_id'")or die('MYSQL QUERY ERROR : ' . mysql_error());//Hent nyheden fra databesen
if(mysql_num_rows($hent_nyhed) == 0)){ //vi tjekker om nyheden findes :)
echo"Kunne ikke finde nyheden!";
}else{//vi fandt nyheden lad os printe den ud !
$nyhed = mysql_fetch_array($hent_nyhed);
echo"$nyhed[overskrift]<br>";
echo"$nyhed[tekst]";
}
?>

Vi prøver lige engang til ..
RETTELSE :
<a href="index.php?side=show_news&id=5">Nyhed</a>
Jeg ved jo ikke hvordan din nyhedstabel ser ud, så jeg har gættet mig frem..
Eksempel på at hente nyhed :
<?
//skab forbindelse til din db her..
$get_id = $_GET['id'];//hent id´et (5 er id´et)
$hent_nyhed = mysql_query("SELECT * FROM din nyhedstabel WHERE id = '$get_id'")or die('MYSQL QUERY ERROR : ' . mysql_error());//Hent nyheden fra databesen
if(mysql_num_rows($hent_nyhed) == 0){ //vi tjekker om nyheden findes :)
echo"Kunne ikke finde nyheden!";
}else{//vi fandt nyheden lad os printe den ud !
$nyhed = mysql_fetch_array($hent_nyhed);
echo"$nyhed[overskrift]<br>";
echo"$nyhed[tekst]";
}
?>

Øhhhhh, var det ikke det jeg foreslog???

I hvert fald sql-sætningen....

Der er vel ingen grund til, at der tjekkes om nyheden findes, idet vi formoder, at linkene er dannede udfra data i databasen. Derved vil der ikke komme links til noget der ikke findes...

Men den linje er vel nemt at fjerne, for ja, det er jo overflødisk, og det er der, som du så fint siger y, ingen grund til.

Jeg har ikke lige tid til at kigge på det nu, men får kigget på det imorgen :)

Jeg takker for hjælpen indtil videre :)

Nå nu fik jeg kigget på det, og det var den ærligt talt ikke glad for.

Her er hvad jeg fik det til.

<---Kode starter--->

<?php
    include("mysqldata.php");

    $db = mysql_connect($db_host, $db_user, $db_password);
    mysql_select_db($db_name, $db);
    $foresp = mysql_query("SELECT id, time, titel, godkendt FROM nyheder WHERE godkendt = 1 ORDER BY time DESC");
    while($data = mysql_fetch_array($foresp)){
        echo "<a href='index.php?side=Forside?news_id=$data[id]'>$data[titel]</a>  -  ";
        echo date("j/n Y", $data[time]);
        echo " kl. ";
        echo date("H:i", $data[time]);
        echo "<br>";
    }

    $get_id = $_GET['id'];//hent id´et (5 er id´et)
    $hent_nyhed = mysql_query("SELECT * FROM nyheder WHERE id = '$get_id'")or die('MYSQL QUERY ERROR : ' . mysql_error());
        if(mysql_num_rows($hent_nyhed) == 0){
            echo"Kunne ikke finde nyheden!";
        }
        else{
            $nyhed = mysql_fetch_array($hent_nyhed);
                echo"$nyhed[titel]<br>";
                echo"$nyhed[text]";
        }
?>

<---Kode slutter--->

Nyhedsoverskrifterne vises fint, og når jeg trykker på linket skriver den også det rigtige link i adressebaren, men jeg har en mistanke om at nedenstående(i min index.php) blokerer for det. En anden ting er at der nederst på listen af nyheder står "Kunne ikke finde nyheden!", hvilket der jo ikk skal.

<---Kode starter--->

<?php $side = $_GET[side];
if (!$side || $side == "Forside") { $side = "Forside"; }
elseif ($side == "Resultater") { $side = "Resultater"; }
elseif ($side == "Hall of Fame") { $side = "Hall of Fame"; }
elseif ($side == "Links") { $side = "Links"; }
elseif ($side == "Om") { $side = "Om"; }
else { $side = "404"; }

<---Kode slutter--->

Hvordan får jeg den til at tillade ALLE news_id(evt. på nær 0), for nu "fanger det der den jo, og jeg får 404 fejl.

Denne $side = $_GET[side];  skal ændres til $side = $_GET['side'];

Også kan jeg ikke gennemskue, hvad det er du gør i den lange if..elseif..else sætning. Du fortæller faktisk følgende: Hvis $side er "Forside" så sæt $side="Forside". Den er helt overflødig. Hvad er meningen med den?

Mht "Kan ikke finde nyheden" Det er fordi, du jo tjekker databasen hvergang index.php loader, også er get['id'] jo ikke sat, det bliver den først når du bruger et af linkene, du kan slippe af med den ved at sætte $hent_nyhed delen ind i en if(isset($_GET['id'])) { Så køres den del kun, hvis siden er tilgået vhja linket, se desuden min kommentar 27/11-2007 19:47:37. Slet følgende:
if(mysql_num_rows($hent_nyhed) == 0){
            echo"Kunne ikke finde nyheden!";
        }
        else{
            $nyhed = mysql_fetch_array($hent_nyhed);
                echo"$nyhed[titel]<br>";
                echo"$nyhed[text]";
        }
Den er overflødig.

/y

Jeg fandt ud af at det var meget smart at have den der: "Kunne ikke finde nyheden!", ellers vil brugeren jo kunne manipulere med det oppe i adresselinjen, og bede om at se en nyhed der ikke eksisterer..

Det er også derfor den lange if..else..elseif sætning er lavet, nu må du ikke hænge mig op på det, men en ven sagde at det var et sikkerhedsbrist at man kunne tilgå enhver side og sådan, så han lavede det der til mig..


Og hvor er det du vil sætte din if(isset) ind? Jeg kan umiddelbart ikke lige se det? :/

BTW, hvorfor vil du proppe de to ' ind?

De to ' mangler hos dig, det er en trykfejl.

Hvis man søger en nyhed der ikke er der, kommer der bare ikke noget ud.

Det er rigtigt, du skal passe på med sql-intrusion, men det løser man med addslashes her, den tilføjer \ som forhindrer intrusion, hvis magic_quotes_gpc ikke er sat - hvad den er default, men det tjekker man - se senere:
$get_id = $_GET['id']; ændres til:
$get_id = addslashes($_GET['id']);

Så kan brugeren ikke succesfuldt fifle med adresselinken.

isset sætter du således:
(isset($_GET['id'])) { <<-----
$get_id = (get_magic_quotes_gpc()) ? $_GET['id'] : addslashes($_GET['id']);//hent id´et (5 er id´et)
    $hent_nyhed = mysql_query("SELECT * FROM nyheder WHERE id = '$get_id'")or die('MYSQL QUERY ERROR : ' . mysql_error());
if(mysql_num_rows($hent_nyhed) == 0){
            echo"Kunne ikke finde nyheden!";
        }
        else{
            $nyhed = mysql_fetch_array($hent_nyhed);
                echo"$nyhed[titel]<br>";
                echo"$nyhed[text]";
}
}

Så søger den kun i databasen, hvis siden tilgåes med url-variablerne sat.

Jeg synes det lyder underligt, hvad din ven har sagt, idet det ikke giver nogen beskyttelse for det du siger. Hvis $_GET['side'] skal lave en hensvisning til en anden side, kan man jo skrive index.php?side="mumibjørn", men hvis der ikke er en side, der hedder mumibjørn.php, får man bare en error 404, og så er det problem løst. Det du gør, er at sætte $side lig med det den allerede er. 404 sker jo af sig selv...?
(Jeg kan iøvrigt ikke se, hvor du redirecter til en nyhedsside!)

Men dig om det, det bare bøvlet, at skalere siden så, hvis du finder på flere sider, så skal du ind og rette i if..elseif..else hvergang du gør det!

/y

Jeg kan godt se hvad du mener, forskellen er jo at nu bruger jeg jo en "hjemmelavet" 404, men det er jo lige meget..

Jeg ved godt jeg skal ind og tilføje det i min længe if..elseif..else sætning, hver gang jeg vil have en ny side..


Hvad er det du har gjort anderledes i koden ovenfor, i forhold til den kode jeg smed, udover du har

Sry kom til at trykke send lidt fortidligt, fortsætter lige xD

..din isset med?

Og du har ikke nogen forslag til hvordan jeg kan tillade alle værdier i news_id(evt. på nær 0)?

Det jeg har ændrest, er isset, hvilket er ret væsentligt, den sørger for, at der kun søget i databasen, når $_GET['id'] er sat, desuden har jeg sikret dig mod sql-intrusion.

Jeg ved ikke hvad du mener med at tillade alle værdier i news_id. Forklar. Hvad bruger du den til?

/y

Jeg kigger lige senere idag, og ser om det stadig er et problem, for det kan jo være du har løst det :)

Undksyld jeg har ladet svaret vente sådan :S
Jeg har været noget så hængt op her på det sidste..

Det var ikk så smart, så jeg hæver pointene til 200...

Min situation er næsten det samme, uden at være det:
Jeg har lavet linkene nu, de ser således ud; http://mitdomæne.dk/index.php?side=Vis%20nyhed&id=data['id']..

Men, hvordan får jeg så siden "Vis nyhed.php" til at kun at vise nyheden med id'et "data['id']"?

Og hvordan tillader jeg ALLE id'er i min lange if..else..elseif sætning?
Eller, nogle der kan komme på en anden løsning?(Din fungerede sikkert udemærket y, men så skriv lige nøjagtigt hvad jeg skal skrive hvor, for hvis ikk det skal se ud som det gør nu, så aner jeg virkeligt ikke hvordan :S)

http://mitdomæne.dk/index.php?side=Vis%20nyhed&id=data['id']..
skal se således ud:
http://mitdomæne.dk/index.php?side=Vis%20nyhed&id=<?php echo data['id'] ?>

Nå ja, det burde jeg jo have sagt, linket er i en echo :) Så er det vel ikk nødvendigt, vel?

.