Was sagt Ihr zu diesem Beispiel? Kann man das noch verwenden, oder ist es veraltet?

Yvonne · 20. Juli 2014

Hallo,

das hat mir jemand zugesendet, darum möchte ich mal fragen, ist das noch der heute Stand, das man so programmiert?

Zitat

PHP

<?php
require('global.php');
$felder = array('selbststaendigseit','angemeldetesgewerbe','erlernterberuf','vorname','nachname','strnr','plz','ort','telefon','handy','fax','email','auftragszeitpunkt','auftragsort','stundenlohn','kmgeld','uebernachtungsgeld');
if(empty($_POST["angemeldetesgewerbe"]) OR empty($_POST["plz"]) OR empty($_POST["ort"]) OR empty($_POST["email"]) OR empty($_POST["stundenlohn"]) OR empty($_POST["handy"]))
{
?>




<p class="titel">Firma hinzufügen</p>
<table cellspacing="4" cellpadding="4" border="0">
<tr><form method="POST" action="">
<td>Selbstständig seit:</td>
<td><?php eingabe("selbststaendigseit"); ?></td>
</tr>
<tr>
<td>Angemeldetes Gewerbe:</td>
<td><?php eingabe("angemeldetesgewerbe"); ?></td>
</tr>
<tr>
<td>Erlernter Beruf:</td>
<td><?php eingabe("erlernterberuf"); ?></td>
</tr>
<tr>
<td>Vorname:</td>
<td><?php eingabe("vorname"); ?></td>
</tr>
<tr>
<td>Nachname:</td>
<td><?php eingabe("nachname"); ?></td>
</tr>
<tr>
<td>Telefon:</td>
<td><?php eingabe("telefon"); ?></td>
</tr>
<tr>
<td>Handy:</td>
<td><?php eingabe("handy"); ?></td>
</tr>
<tr>
<td>Telefax:</td>
<td><?php eingabe("fax"); ?></td>
</tr>
<tr>
<td>Postleitzahl:</td>
<td><?php eingabe("plz","6","","6"); ?></td>
</tr>
<tr>
<td>Ort:</td>
<td><?php eingabe("ort"); ?></td>
</tr>
<tr>
<td>Straße und Hausnummer:</td>
<td><?php eingabe("strnr"); ?></td>
</tr>
<tr>
<td>BAuftragszeitpunkt:</td>
<td><?php eingabe("auftragszeitpunkt"); ?></td>
</tr>
<tr>
<td>Wo wird der Auftrag ausgeführt:</td>
<td><?php eingabe("auftragsort"); ?></td>
</tr>
<tr>
<td>Auftragsort:</td>
<td><?php eingabe("auftragsort"); ?></td>
</tr>
<tr>
<td>E-Mail Adresse:</td>
<td><?php eingabe("email"); ?></td>
</tr>
<tr>
<td>Wunschstundenlohn:</td>
<td><?php eingabe("stundenlohn"); ?></td>
</tr>
<tr>
<td>Kilometergeld in Euro:</td>
<td><?php eingabe("kmgeld"); ?></td>
</tr>
<tr>
<td>Übernachtungskosten in Euro:</td>
<td><?php eingabe("uebernachtungsgeld"); ?></td>
</tr>
<tr>
<td colspan="2"><center><input type="submit" name="senden" value="Firma einstellen" class="absendenbutton"></center></form></td>
</tr>
</table>
<?php
}
else
{ 
// Wenn alle Daten richtig eingegeben wurden,...
?>
<p class="titel">Firma wird hinzugefügt</p>
<?php
mysql_verbindung();




$sql = "INSERT INTO firmen (";
foreach($felder as $feld)
{
$sql .= "fir_$feld, ";
}
$sql .= "fir_erstelldatum) VALUES (";
foreach($felder as $feld)
{
$sql .= "'$_POST[$feld]', ";
}
$sql .= "'".time()."')";
if(mysql_query($sql))
{
echo "<p class=ok>Eintrag wurde erfolgreich hinzugefügt!</p>";
}
else
{
echo "<p class=fehler>Fehler! Eintrag konnte nicht hinzugefügt werden!</p>".mysql_error();
}
}
?>

Alles anzeigen

[/code]

cottton · 20. Juli 2014

Als erstes Thema Sicherheit:
Benutzereingaben maskieren: mysqli_real_escape_string (http://php.net/manual/de/mysqli.real-escape-string.php)
hier am Bsp:

PHP

foreach($felder as $feld)
{
    $sql .= mysqli_real_escape_string($_POST[$feld]).", ";
}

Sonst sind Sql-Injections möglich!

Prüfung:

PHP

if(empty($_POST["angemeldetesgewerbe"]) OR empty($_POST["plz"]) OR empty($_POST["ort"]) OR empty($_POST["email"]) OR empty($_POST["stundenlohn"]) OR empty($_POST["handy"]))

hier passiert keine wirkliche Prüfung. Es gehört eigtl mehr dazu.
Bsp:
$_POST["plz"] ist numerisch. Es lohnt sich also schon mal zu prüfen, ob:

PHP

if(is_numeric($_POST["plz"])){ ... }

BTW:
Postleitzahlen fangen auch schon mal mit einer 0 an. Außerdem bekommt man via $_POST und $_GET immer Strings, auch wenn im Eingabefeld eine Zahl eingegeben wurde.
Heißt: Eingabefeld 123 führt zu $_POST/$_GET '123'.
Die Funktion is_numeric() (oder besser gesagt PHP) kommt damit allerdings klar. Es wird versucht den String '123' als Zahl zu verwenden, was auch funktioniert.
So ist zum Bsp:

PHP

if(is_numeric(02828))

wahr, also true.
(Man kann hier auch noch die Länge der PLZ prüfen.)

Bsp eMail:

PHP

if(empty($email) === false and filter_var($email, FILTER_VALIDATE_EMAIL) === true){ ... }

Usw. Am besten immer nach den Schlagworten via Suchmaschiene suchen. Zb "php email prüfen".

Was den Rest betrifft: alles Ansichtssache.
Hier zB wurde das Erstelen des Inputfelds über eine Funktion erledigt:

HTML

<td><?php eingabe("selbststaendigseit"); ?></td>

So lange man Redundanz (zu viel sich wiederholender Code) vermeidet - ok.

wolf · 20. Juli 2014

Gibt nicht mehr viel zu sagen, aber warum wird das Input feld über ne Funktion erstellt, wenn man trotzdem noch den ganzen Rest schreibt..?!

PHP

//Liste aller beschreibungen
$list = array('Selbstständig seit','Angemeldetes Gewerbe','Email','usw');




//wenn NICHT datenOk()
if( !datenOk() ){
    echo '
    <p class="titel">Firma hinzufügen</p>
    <form action="" method="POST">
    <table>
    ';
    // DAS FOREACH IST UNTEN NOCHMAL ÜBERSICHTLICHER //




    //für jeden Teil in $list den Teil in $beschreibung schreiben
    foreach ($list as $beschreibung) {
        $feldName = strtolower( str_replace(' ', '', $beschreibung) );
        //Den ganzen Krempel augeben
        echo '<tr>
                <td>'.$beschreibung.':</td>
                <td><input name="'.$feldName.'" type="text"></td>
            </tr>
        ';
    }#foreach
    echo'
        </table>
        <input type="submit">
        </form>
    ';
}#if !datenok()
else{
    //DATENBANK KRAM (cotton beachten!)
}




function datenOk(){
    //wenn submit gedrückt wurde
    if (isset($_POST)) {
        $daten = 'ok';
        foreach ($list as $beschreibung) {
            $FELDNAME = strtolower( str_replace(' ', '', $beschreibung) );
            $INPUT = $_POST[ $FELDNAME ];
            //wenn leer
            if ( 
                empty( $INPUT )
            ) {#wenn leer
                $daten = false;
            }#if empty
        }




        //wenn kein Feld leer war
        if ($daten === 'ok') {
            //wenn das Feld postleitzahl heist
            if ($FELDNAME == 'postleitzahl') {
                //wenn NICHT numerisch ODER NICHT mit 0 ANFÄNGT ODER NICHT 6 zeichen lang ist
                if (
                    !is_numeric($INPUT) ||
                    !preg_match('/^0/', ) ||
                    !strlen($INPUT) == 6 
                ) {
                    //nicht alles ok
                    $daten = false;
                    //Fehler schreiben




                }
            }# postleitahl
            //ansonnsten wenn das feld email heist
            elseif ($FELDNAME == 'email') {
                if ( !filter_var($INPUT , FILTER_VALIDATE_EMAIL) ) {
                   //nicht alles ok
                    $daten = false;
                    //Fehler schreiben




                }
            } #email




            //Wenn immernoch alles ok
            if ($daten === 'ok') {
                //true zurückgeben
                return true;
            }
            //Wenn nicht
            else{
                //false zurückgeben
                return false;
            }
        }#if daten == ok
        //Wenn nicht ok
        else{
            return false;
        }# else daten == ok




    }#if isset POST
    else{
        //Wenn nicht abgesendet wurde Formular anzeigen
        return false;
    }# else isset POST
}#function datenOK()




//ENDE




//ÜBERSICHT
/*




    //für jeden Teil in $list den Teil in $beschreibung schreiben
    foreach ($list as $beschreibung) {
                    //Alles klein schreiben
        $feldName = strtolower(
                // » «(Leerzeichen) durch »«(nix) ersetzen in $beschreibung
                str_replace(' ', '', $beschreibung)
            );
        //Den ganzen Krempel augeben
        echo '
        <tr>
            <td>'.$beschreibung.':</td>
            <td>
                <input 
                    name="'.$feldName.'"
                    type="text"
                >
            </td>
        </tr>
        ';
    }#foreach




*/

Alles anzeigen

Ansonnsten .. Design und Struktur miteinander zu mischen ist veraltet

(Zeile 9) cellspacing="[...]" cellpadding="[...]" border="[...]"
(Zeile 83) colspan="[..]" und <center>

Sowas regelt man über CSS..

Was sagt Ihr zu diesem Beispiel? Kann man das noch verwenden, oder ist es veraltet?

Jetzt mitmachen!

Teilen