[PHP/MYSQL] Tutorial Database

vrijdag 6 juni 2008 23:20

Acties:

0 Henk 'm!

Topicstarter

Voor mijn eigen website ben ik bezig met het tutorial gedeelte en het liefst wil ik dit op een zo efficiënt mogelijke manier doen. Mijn kennis met PHP en MYSQL zijn wel goed (basis kennis op school opgedaan en veel geëxperimenteerd voor mijn eigen website) en ben dus wel bereid om wat moeite te doen om een goed systeem in elkaar te zetten.

Zoals ik al zei gaat het hier om een tutorial database. Wat ik wil hebben is een database in mysql die mijn website kan vullen met tutorials uit verschillende categorieën. Een content managment systeem klinkt dus aardig in de goede richting maar daar zit dus ook meteen het probleem. Een Photoshop tutorial kan je best helemaal in een MYSQL database zetten maar zodra je met programmeer talen te maken krijgt in je tutorials krijg je snel gezeur omdat de pagina dan snel de neiging krijgt om die code die jij wilt laten zien uit te voeren. Nu heb ik daar wel een code voor gevonden maar natuurlijk werkt dat weer niet vanuit een SQL database en ik denk ook dat dit niet de manier is om te werken.

Ik heb enigszins een manier gevonden om mijn idee aan de praat te krijgen maar dat is nog steeds niet helemaal wat ik wil. Op het moment heb ik een systeem dat voor een groot deel via de SQL database gaat maar de daadwerkelijke inhoud staat in een .php document ergens op de server, deze wordt dan weer door middel van een link of bestandsnaam in de database in de pagina getoverd. Het werkt, maar het is dan nog steeds niet helemaal geautomatiseerd. Ik wil dus dalijk het liefst een pagina op mijn server hebben waar ik gemakkelijk een titel, categorie, auteur naam, datum, korte beschrijving en inhoud in kan voeren zonder daarbij een bestand via een FTP connectie over te zetten, dus dat ik zeg maar overal een tutorial in kan voeren waar ik ook ben. Dit mag eventueel door middel van een .php bestand uploaden via een upload script alleen lijkt me dat niet de beste manier om dit op te lossen.

Mijn vraag is dus hoe er over het algemeen dit soort systemen gemaakt worden? Heeft er iemand ervaring met dit soort systemen en kan die mij dan eventueel de goede richting in sturen?

Alvast bedankt

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

zaterdag 7 juni 2008 00:09

Acties:

0 Henk 'm!

corné

Code omzetten met html entities? (http://nl3.php.net/htmlentities)
Hierdoor zal het gewoon leesbaar zijn in browsers en het wordt niet uitgevoerd.

[ Voor 38% gewijzigd door corné op 07-06-2008 00:11 ]

zaterdag 7 juni 2008 10:26

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

Ik wil dus dalijk het liefst een pagina op mijn server hebben waar ik gemakkelijk een titel, categorie, auteur naam, datum, korte beschrijving en inhoud in kan voeren zonder daarbij een bestand via een FTP connectie over te zetten,

Klinkt als voer voor je PHP - MySQL tutorial

Oftewel: waarom sla je je tutorials niet in een DB op? Als je code in je DB zet wordt die echt niet zomaar uitgevoerd hoor. Als je dat denkt, no offence, moet je zelf toch nog eens wat MySQL en PHP tuts gaan doornemen.

[ Voor 18% gewijzigd door Creepy op 07-06-2008 10:27 ]

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

zaterdag 7 juni 2008 16:14

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

Creepy schreef op zaterdag 07 juni 2008 @ 10:26:
[...]

Klinkt als voer voor je PHP - MySQL tutorial

Oftewel: waarom sla je je tutorials niet in een DB op? Als je code in je DB zet wordt die echt niet zomaar uitgevoerd hoor. Als je dat denkt, no offence, moet je zelf toch nog eens wat MySQL en PHP tuts gaan doornemen.

Dat had ik dus al gedaan met al resultaat dat de code uitgevoerd wordt. Wat er in de SQL database staat wordt naar in de pagina gezet. Ik had daarvoor dus een code gevonden die ook nog eens nette kleurtjes in mijn PHP code aangaf, deze had ik dus ook in de SQL entry gezet en dat ging dus niet goed. Blijkbaar is er dus wel een manier om dat voor elkaar te krijgen, maar hoe? Is daar toevallig een tutorial voor?

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

zaterdag 7 juni 2008 16:20

Acties:

0 Henk 'm!

Gomez12

Kijk anders eens op een nog niet genoemde site in dit topic vol met tutorials, ik gok dat je daar wel een tut kan vinden over hoe je het moet doen...

Maar zowieso, pleur alles in een db. Lees het uit de db in een string. Poep de string op het scherm. Zolang jij niets met eval (=evil) gaat doen dan wordt er niets uitgevoerd uit een string...

Hooguit wat html / js wordt uitgevoerd door je browser. Om php uit te voeren moet je toch echt ergens eval of iets in die richting zelf aanroepen...

html / js is te ondervangen door simpel <pre> </pre> voor en na je bericht te zetten.

zaterdag 7 juni 2008 16:25

Acties:

0 Henk 'm!

Verwijderd

Gomez12 schreef op zaterdag 07 juni 2008 @ 16:20:

html / js is te ondervangen door simpel <pre> </pre> voor en na je bericht te zetten.

Ga dan nog maar een goed kijken wat <pre> en </pre> doen, want ze zorgen er in elk geval niet voor dat er HTML of Javascript niet geinterpreteerd wordt. Escapen doe je door < te vervangen door <, > door >, en & door &. Als je HTML attributen wilt vervangen, moet je bovendien " vervangen door " en ' door '

zaterdag 7 juni 2008 16:33

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

Dat bedoel ik dus met basis kennis, dit soort dingen was ik nog niet tegen gekomen

Bedankt voor de tips, ik ga er eens aan werken!

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

zaterdag 7 juni 2008 18:59

Acties:

0 Henk 'm!

corné

Verwijderd schreef op zaterdag 07 juni 2008 @ 16:25:
[...]

Ga dan nog maar een goed kijken wat <pre> en </pre> doen, want ze zorgen er in elk geval niet voor dat er HTML of Javascript niet geinterpreteerd wordt. Escapen doe je door < te vervangen door <, > door >, en & door &. Als je HTML attributen wilt vervangen, moet je bovendien " vervangen door " en ' door '

Daar is http://nl3.php.net/htmlentities toch voor? Niet dat hij het allemaal handmatig gaat doen

zaterdag 7 juni 2008 19:00

Acties:

0 Henk 'm!

Verwijderd

corné schreef op zaterdag 07 juni 2008 @ 18:59:

Daar is http://nl3.php.net/htmlentities toch voor? Niet dat hij het allemaal handmatig gaat doen

So? Ik leg het principe uit, dat is taalonafhankelijk.

zaterdag 7 juni 2008 19:43

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

Goed, ik heb even snel een test pagina aangemaakt om het nog een keer te proberen met jullie tips maar ik kom er nog steeds niet uit.

Ik heb allereerst een index pagina waarin het volgende staat:

code:

<body>
<?php 
        $gtut_id = $_REQUEST['tid'];
        
        require_once 'config/connect_mysql.php';
        
        $query = "SELECT tut_title, tut_author, DATE_FORMAT(tut_date, '%d-%m-%Y') AS tut_date, tut_type, tut_con FROM tutorials WHERE tut_id='$gtut_id';";
        $result = mysql_query($query) or die (mysql_error());
        
        while ($rij = mysql_fetch_array($result))
        {
            echo "<p>";
            echo "<table border='0' width='100%' class='pagecell'>";
            echo "  <tr>
                        <td width='320' class='pagecell'>
                        <h1>".$rij["tut_title"]."</h1><br>
                        <i>Gemaakt door: ".$rij["tut_author"]." op ".$rij["tut_date"]."</i><br>
                        <hr>
                        </td>
                    </tr>
                    <tr>
                        <td class='pagecell'> ";
                        
                        echo $rij['tut_con'];
                        
            echo        "</td>
                    </tr>
                    </table>";
        }
        mysql_free_result($result);
        mysql_close();
?>
</body>

Connectie wordt gemaakt via connect scriptje idd en dat werkt allemaal prima. Zoals je hierboven ziet voet ik een query uit en die gooi ik dan in een array en die lees ik dan weer uit in de pagina zelf. Gaat op zich prima maar die PHP codes waar ik het in het begin over had word gedeeltelijk uitgevoerd want ik mis een stuk informatie. Zie: http://www.dekleijn.homeip.net/beta/test/index.php?tid=1. In mijn database staat een simpele phpinfo code met een highlight string ervoor. Tussen <pre> zetten heeft dus geen zin, enige ideeën?

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

zaterdag 7 juni 2008 19:50

Acties:

0 Henk 'm!

H004

Op een sql-injectiegevaar en nog wat andere onveilige dingen na (+ 2 onnodige mysql_functies op t einde) werkt dit ja. Alleen wil je dit dus printen:

HTML:

<pre>
<?php
highlight_string("Hello world! <?php phpinfo(); ?>;");
?>
</pre>

Waarom zet je die pre's en de functie highlight_string() in de db zelf? Die moet je juist niet in je db zetten, want dan worden ze niet uitgevoerd (highlight_string dus). Deze twee dingen moet je gewoon in je php-script dat de tutorials in de database opslaat plaatsen, zodat ze uitgevoerd worden over de tutorial die je wil uploaden. In je database heb je dan alle tekst, html en phpcode staan zoals ze getoond moeten worden als je een tutorial bekijkt.

Zoiets dus

PHP:

<?php
// $tutorial = "Hello world! enzovoorts......";
// $tutorial_voor_in_db = mysql_real_escape_string(htmlentities(highlight_string($tutorial)));
$tutorial_voor_in_db = mysql_real_escape_string(highlight_string($tutorial)); // Je wil juist wel dat de html die hihglightstring uitpoept getoond wordt als html. Waarschijnlijk zit er al een htmlentities in opgenomen.
$result = mysql_query("INSERT INTO tutorials (tutorial) VALUES ('".$tutorial_voor_in_db."')");
//etc
?>

In de syntaxhighlighter zie je trouwens ook precies waarom jouw code alleen maar

HTML:

1
2

");
?>"

toont... Gebruik de info uit de bovenstaande berichten (iets met htmlentities) en je probleem is opgelost.

[ Voor 57% gewijzigd door H004 op 07-06-2008 20:11 ]

zaterdag 7 juni 2008 19:57

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

H004 schreef op zaterdag 07 juni 2008 @ 19:50:
Op een sql-injectiegevaar en nog wat andere onveilige dingen na (+ 2 onnodige mysql_functies op t einde) werkt dit ja. Alleen wil je dit dus printen:
HTML:
1
2
3
4
5
<pre>
<?php
highlight_string("Hello world! <?php phpinfo(); ?>");
?>
</pre>
Waarom zet je die pre's en de functie highlight_string() in de db zelf? Die moet je juist niet in je db zetten, want dan worden ze niet uitgevoerd. Wat verwacht je nu eignelijk te zien? De uitkomst van phpinfo()?

Ik wil de codes laten zien, dus dat ze juist niet uitgevoerd worden. De uitkomst van phpinfo is dus niet belangrijk, het is belangrijk dat de code die erinstaat gezien kan worden op de pagina (daar zijn die highlights dus voor).

edit: Owke, het werkt nu een beetje maar nog steeds niet wat ik wil... Maar dat zoek ik zelf wel verder uit. Bedankt in ieder geval voor de hulp...

[ Voor 8% gewijzigd door Soepstengel op 07-06-2008 20:03 ]

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

zondag 8 juni 2008 22:22

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

Ik krijg het maar niet voor elkaar en ik denk dat ik het hier boven gewoon verkeerd uitgelegd heb. Die html entities zijn leuk en werken wel maar dan wordt heel mijn tekst omgezet in code styl en dat wil ik niet. Ik heb zeg maar een stuk tekst met wat uitleg en dan tussen de tekst voorbeeld codes in PHP, HTML of wat voor programmeer taal dan ook. Een voorbeeld: http://www.dekleijn.homeip.net/beta/home/index.php?page=tutorial.php&tid=1 Alleen deze pagina werkt door middel van een SQL entry waarin dood leuk staat hoe het bestand heet dat geinclude moet worden in de pagina, in de pagina zelf staat dan weer een include code die een path heeft zonder bestandsnaam, die wordt namelijk ingevoerd door het resultaat dat uit de database komt.

Wat ik nu dus ga krijgen als ik alles via mijn database wil ga doen is dat er PHP codes in de entries in mijn SQL database komen. Nu heb ik het één en andere door gelezen over SQL injections (en ook nog wat andere injections) en dan lijkt het mij ook niet zo slim om PHP code in een SQL database te zetten, of zie ik dat helemaal verkeerd? Hoe doen grote tutorial websites dit? Doen die bij het aanmelden van een tutorial de velden als titel, datum, auteur etc. invullen en dan een PHP bestand uploaden naar de server waar de hele tutorial in staat?

Ik vindt het heel vreemd aangezien ik echt helemaal niks via google kan vinden over php codes of html codes in een SQL database zetten, er is echt geen informatie over te vinden lijkt het wel. Het enigste wat ik nu bereikt heb is tutorials lezen die wel wat met het onderwerp te maken heeft maar die ervan uitgaan dat je een content managment systeem wilt maken met nieuws items

, niet echt nuttige info dus voor dit onderwerp.

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

zondag 8 juni 2008 22:45

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

Eeeh, je PHP code wordt echt niet uitgevoerd hoor. Je kan alleen PHP code vanuit de database uitvoeren als je eval() gebruikt (en eval() wil je in 99 van de 100 gevallen niet gebruiken).

SQL injectie heeft met SQL code te maken die door verkeerd gebruik van variabelen en het opbouwen van je query terecht kan komen in de query. Het enige dat jij lijkt te willen is een stuk HTML code opslaan in de database. Dat lijkt me niet zo'n probleem. Dat er toevallig PHP code instaat gaat er echt niet voor zorgen dat de PHP code ook daadwerkelijk wordt uitgevoerd. PHP code kan natuurlijk wel uitgevoerd worden als je de boel opslaat in een bestand en dit bestand gaat includen, maar als je dat zou doen dan zou je geen DB meer hoeven te gebruiken

[ Voor 4% gewijzigd door Creepy op 08-06-2008 22:46 ]

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

zondag 8 juni 2008 22:58

Acties:

0 Henk 'm!

KoHa

Het feit dat je php code in je database gaat zetten heeft helemaal niks met sql injection te maken. Zodra je de data goed omzet, zodat er geen kwetsbare data meer in je tutorial staat, komt de php code gewoon als tekst in de database te staan.
Als je daarna deze tekst er weer uit haalt en het op het scherm tovert, is het nog steeds gewoon tekst. Het kan dus geen kwaad.

Als je trouwens goed zoekt, dan kom je best wel wat systemen die zoiets doen. Je moet gewoon zoeken naar een systeem dat code toont voor de gebruiker. Maar dit heb je echt niet nodig om dit systeem te maken

zondag 8 juni 2008 23:14

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

Creepy schreef op zondag 08 juni 2008 @ 22:45:
Eeeh, je PHP code wordt echt niet uitgevoerd hoor. Je kan alleen PHP code vanuit de database uitvoeren als je eval() gebruikt (en eval() wil je in 99 van de 100 gevallen niet gebruiken).

SQL injectie heeft met SQL code te maken die door verkeerd gebruik van variabelen en het opbouwen van je query terecht kan komen in de query. Het enige dat jij lijkt te willen is een stuk HTML code opslaan in de database. Dat lijkt me niet zo'n probleem. Dat er toevallig PHP code instaat gaat er echt niet voor zorgen dat de PHP code ook daadwerkelijk wordt uitgevoerd. PHP code kan natuurlijk wel uitgevoerd worden als je de boel opslaat in een bestand en dit bestand gaat includen, maar als je dat zou doen dan zou je geen DB meer hoeven te gebruiken

Dat is het hem nou juist, ik wil juist wel gebruik maken van PHP en dan vooral één specifieke en dat is de functie highlight (om PHP code duidelijker te laten zien). Daarbij wil ik natuurlijk ook zo nu en dan een plaatje laten zien voor Photoshop tutorials en dat zou dan eventueel wel kunnen door HTML code in de database te zetten (heb ik al getest en dat werkt harstikke goed

). Is er een andere manier om die highlights te laten doen?

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

maandag 9 juni 2008 12:06

Acties:

0 Henk 'm!

Zyppora

155/50 Warlock

Volgens mij zie je het verschil tussen een stringvalue en PHP code even niet. Het feit dat er code staat als data in een stringvariabele (HTML/JS/PHP/etc, doet er niet toe), maakt die data nog geen code. Je zult er iets mee moeten doen, en om PHP code die als data in een variabele zit uit te voeren, heb je dingen als eval() nodig. Zie het als data, ipv. als code. En zet het dus ook als data in je database (na uiteraard de nodige maatregelen zoals mysql_real_escape_string() erop losgelaten te hebben). Bij het eruit halen heb je gewoon weer data (die 'toevallig' PHP code voorstelt) en die wil je laten zien op je pagina. Dit doe je dus ook weer door het te echoen/printen (na htmlentities() om je quotes en haken te 'escapen').

Overigens wordt me niet duidelijk wat je met highlight_string() doet? Als dat code is die uitgevoerd moet worden, hoort deze niet in je database, maar ergens in je script.

[ Voor 3% gewijzigd door Zyppora op 09-06-2008 12:07 ]

Phenom II X4 945 \\ 8GB DDR3 \\ Crosshair IV Formula \\ R9 290

maandag 9 juni 2008 12:49

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

Je zult er niet aan ontkomen om een soort van UBB parser te maken als je wilt dat code in je HTML via een PHP functie worden opgemaakt zodat je in je HTML tags kan opnemen om de content tussen die tags door je php functie te halen.

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

maandag 9 juni 2008 15:21

Acties:

0 Henk 'm!

H004

Inderdaad. Je haalt je data (zoals Zyppora duidelijk uitlegt) op uit je database. Vervolgens moet je deze data doorzoeken naar code. Zodra je in je opgehaalde data "<?php" tegenkomt moet dit geparsed worden met highlight_string() totdat je "?>" in je data tegenkomt. Vanaf dan moet de data weer gewoon getoond worden.

Je zal dus wat moeten gaan doen met regexen om je data op te splitsen in html en gekleurde php-code. Performancetechnisch is t alleen handiger om de code in je database al op orde te hebben, zodat je niet elke keer dat je een tutorial moet tonen aan een gebruiker de tutorial ook nog eens moet formatteren etc. Als je dit doet voordat je hem opslaat in je db hoef je alleen maar te echo-en. Dus:

PHP:

<?php
//pseudocode

$string = "tutorial_voor_in_database";
$tutorial = "";
$deel = preg_split(/' <--trigger--> /', $string, etc);
for ($i = 0; $i < count($deel); $i++) {
    if ($deel[i] == php-code) {
        $tutorial .= highlight_string($deel[i]);
    }
    else {
       $tutorial .= toon_als_html($deel[i]);
    }
}
// $tutorial inserten in database.
?>

Je zal een "trigger" in je ongeformatteerde tutorial nodig hebben om op te splitten. Deze trigger kan alles zijn, zolang t maar niet voor zal komen in de tutorial zelf. Uiteraard zijn er ook andere oplossingen die mogelijk wel zelf kunnen waarnemen wanneer een stuk code php is of niet, en geen trigger behoeven, maar dat laat ik aan je eigen creativiteit over (iets met preg-replace ofzo). Succes ermee.

[ Voor 37% gewijzigd door H004 op 09-06-2008 15:38 ]

maandag 9 juni 2008 15:46

Acties:

0 Henk 'm!

Voutloos

Een van de meest voorkomende redenen waarom PHP voorbeeld snippets 9 vd 10 keer compleet zuigen is dat de auteur totaal niets nada noppes van security snapt en niet weet waarom en wanneer zaken escapet moeten worden. En ik heb het idee dat jij dat ook nog niet weet.

Escapen is afhankelijk van context, en voor elke context zijn er legio tutorials. En daarna snap je waarom je query veilig is (bv. waarom de user input dus niet de query syntax beinvloed), en waarom je html output veilig is (bv. waarom de dynamische content/user input niet onbedoeld je html vernaggelt). Sim-pel.

Met alle respect, maar zoals je je probleem in de startpost uitlegt en met de problemen die je nog ondervind, kan je momenteel nog geen goede bron voor PHP tutorials zijn.

Maar goed, je bent lekker bezig en terwijl je dit systeem opzet en de posts in dit topic (met verwijzingen naar sql injection, escaping ed) ter harte neemt, doe je wellicht wel ervaring op om dat later wel te kunnen.
[/nofi]

H004 schreef op maandag 09 juni 2008 @ 15:21:
Je zal een "trigger" in je ongeformatteerde tutorial nodig hebben om op te splitten. Deze trigger kan alles zijn, zolang t maar niet voor zal komen in de tutorial zelf.

En met dat laatste kom je weer op escaping.

Als je dan nog een paar keywords introduceert, kom je dus op een template systeem uit. Alternatief kan je natuurlijk ook gewoon met het handje de tekst en output van highlight_string() in de db stoppen. Is uiteraard minder dynamisch dan wanneer je highlight_string() achteraf toepast, maar maakt mogelijk wel je db opzet en het huidige probleem eenvoudiger.

{signature}

maandag 9 juni 2008 19:47

Acties:

0 Henk 'm!

Soepstengel

Topicstarter

Yes, hier heb ik wat aan! De tutorials zullen ook niet ontzettend uitgebreide tutorials zijn maar meer basic als hoe je iets uit een database haalt, dus niet dit soort complexe dingen

Ook om een beetje te laten zien hoe ik mijn random quote generator heb gemaakt, ook erg handig als ik over een X aantal jaren nog eens op moet zoeken hoe ik dat ook alweer voor elkaar gekregen heb. Gaat er eigenlijk om dat de mogelijk er is om PHP tutorials te laten zien op mijn website terwijl er dalijk misschien maar 2 of 3 op zullen staan, de website is ook meer persoonlijk gericht, niet bepaald een website die grote drukte moet gaan verwachten of op #1 zal staan in de top van tutorial websites.

Bedankt voor alle hulp en ik ga mij zeker eens verdiepen in het splitten van data (ik wist niet eens dat dat mogelijk was!) en escaping, zal vast enorm helpen!

Desktop: Ryzen 7 7800X3D | 32 GB | Radeon RX 6800

Onderwerpen