Gästebuch-logischer Fehler?

Nitamud · 26. November 2014

Hallo,

ich beschäftige mich erst seit kurzer Zeit mit PHP und habe nun versucht ein Gästebuch(ohne Datenbanken) zu erstellen.
Der ganze untere PHP wird als action eines Formulars aufgerufen , dass die Werte per post übergibt.
Das Ganze produziert auch keine Fehlermeldung, oder ähnliches, von daher vermute ich , dass es sich um einen Fehler
bei str_replace handelt.

Die Variablen $inhalt und $eintrag stimmen genau, nur das Schreiben in die andre Datei funktioniert nicht.
Der Zugriff auf die Datei ist aber gewährleistet, und es wird auch im Editor gefragt ob neu geladen werden soll,
weil von draußen darauf zugegriffen wird. Nur ändert sich der Inhalt nicht..
Und die Ausgabe von $ersetzen scheint fehlerhaft zu sein....

Hier einmal der Code:

PHP

<?php 

		//Prüfen ob Werte angekommen 
	if (isset($_POST['name'])&& isset($_POST['email']) && isset($_POST['kommentar'])) 
	//falls ja , Werte in Variablen speichern
	{
		$name = $_POST['name'];
		$email = $_POST['email'];
		$kommentar = $_POST['kommentar'];

		//Datum und Uhrzeit generieren

	$datum= date("d.m.Y");
	$zeit = date("H:i:s");

	//Jetzt neuen Eintrag im Gästebuch erzeugen

	// <!--Beginn--> dient als Platzhalter im HTML-Dokument
        //dort wird später der Beitrag eingefügt

	$eintrag= 	'<!--Beginn-->\n' . '<div class="kommentar">' . '\n<strong>Name: </strong>';
	$eintrag.= 	$name;

	$eintrag.= 	'<br>\n' . '<strong>Email: </strong><a href="mailto: "';
	$eintrag.= 	$email;
	$eintrag.= 	'>' .$email . '</a><br><br>\n<strong> Datum: </strong>';
	$eintrag.= 	$datum. ' um ' . $zeit;

	$eintrag.=	'<br>\n<strong> Kommentar: </strong>';
	$eintrag.= 	$kommentar;
	$eintrag.= 	'<br><br><br></div>';

	//Jetzt Gästebuch-Datei laden 

	$bol = file_exists("start.php");

	//prüft, ob die Datei existiert
	if ($bol) {

		$datei = fopen("start.php", "r");
		//prüft ob Datei geöffnet werden konnte, 
		//öffnet diese im Lesemodus und
		//speichert den Inhalt in einer Variable

		if ($datei) {
			$dateigroesse = filesize("start.php");

			//speichert den Inhalt der Datei
			$inhalt = fread($datei, $dateigroesse);

			//schließt die Datei wieder
			fclose($datei);

		} //Dateiöffnung

		//neuen Eintrag an der Platzhalterposition einfügen		
		$ersetzen= str_replace("<!--Begin-->", $eintrag, $inhalt);

	} //Existenzüberprüfung

	//aktuallisiertes Gästebuch schreiben

	$bol = file_exists("start.php");

	//prüft ob Datei existiert	
	if ($bol) {

		$datei = fopen("start.php", "w");

		//prüft ob Datei geöffnet werden konnte,
		//öffnet dies im Schreibmodus und
		//ändert den Inhalt

		if ($datei) {

			//Inhalt ändern
			fwrite($datei, $ersetzen);
			fclose($datei);
			echo "Vielen Dank f&uuml;r ihren Eintrag.";
			echo '<a href="start.php">Klicken sie hier um zum G&auml;stebuch zur&uuml;ckzukehren.</a>';


		} //Dateiöffnung




	} //Existenzüberprüfung






	}
	else
	{
		//falls nein, Fehlermeldung
	echo "Deine Eingaben konnten leider nicht gespeichert werden.";
	echo '<a href="start.php">Klicken sie hier um zum Formular zur&uuml;ckzukehren.</a>';


	}

echo $inhalt; //funktioniert
echo $eintrag; //funktioniert auch













?>

Alles anzeigen

Hoffe ihr könnt mir da ein wenig weiterhlefen

mfg Nita

cottton · 26. November 2014

Etwas ungewöhnlich den ganzen HTML-Kram mit in die Datei zu schreiben. =)

PHP

// str_replace(search, replace, subject)
$ersetzen = str_replace("<!--Begin-->", $eintrag, $inhalt);

<!--Beginn... wird gesucht. Und (nur) wenn vorhanden mit $eintrag ersetzt.
Es wird wohl kein <!--Beginn... in der Datei stehen.
(Wozu eigentlich?)

Nitamud · 26. November 2014

Zitat von cottton
Etwas ungewöhnlich den ganzen HTML-Kram mit in die Datei zu schreiben. =)
PHP
// str_replace(search, replace, subject)
$ersetzen = str_replace("", $eintrag, $inhalt);
<!--Beginn... wird gesucht. Und (nur) wenn vorhanden mit $eintrag ersetzt.
Es wird wohl kein <!--Beginn... in der Datei stehen.
(Wozu eigentlich?)

So habs nach mehrmaligen durchschauen noch gefunden. Ein Englisches Begin und ein Deutsches Beginn
sind eben doch nicht ganz das Gleiche

Wie sollte man denn mit dem HTML-Kram am besten umgehen?

Das Beginn wird gesucht, um den Beitrag immer ganz oben anzufügen und die Verweise auf Styhlesheets und
includede Daten nicht zu überschreiben / zu löschen. Aber auch da würde es vermutlich, eine mir
unbekannte bessere Lösung geben :9

mfg Nita

cottton · 27. November 2014

Sehe gerade, dass Der Eintrag ja direkt in das php File geschrieben wird.
Das kann gefährlich werden.
Warum:
Du weiß sicherlich, dass man mitten im HTML code PHP nutzen kann. Dabei öffnet man mit
<?php
und schließt mit
?>

Das heißt, dass ein Eintrag (Variable $kommentar) mit dem Text:

PHP

<?php exit; ?>

Auf Deiner Seite ausgeführt wird.

Man kann (und sollte sowieso) sämtliche Benutzereingaben behandeln (Stichwort htmlspecialchars() oder htmlentities() ),
aber ich würde trotzdem davon abraten PHP Dateien mit Benutzereingaben zu beschreiben.

Was Du schon mal machen kannst:
Das hier:

PHP

$name = $_POST['name'];
$email = $_POST['email'];
$kommentar = $_POST['kommentar'];

mit dem hier ersetzen:

PHP

$name = htmlspecialchars($_POST['name']);
$email = htmlspecialchars($_POST['email']);
$kommentar = htmlspecialchars($_POST['kommentar']);

(htmlspecialchars() siehe: http://php.net/manual/de/function.htmlspecialchars.php)

Zitat

htmlspecialchars — Wandelt Sonderzeichen in HTML-Codes um

Dadurch wird zB das Zeichen < zu <

Und am Bsp von oben:
<?php exit; ?> wird zu <?php exit; ?>gt;

INFO: im Browser werden diese Zeichen wieder normal angezeigt. Er wandelt die HTML-Codes in Benutzerfreundliche Zeichen um.
Wenn Du Dir aber den Quellcode ansiehst (Rechtsklick "Quelltext anzeigen"), dann siehst Du das, was der Browser als "Rohdaten" bekommt.

Ich will Dich jetzt nicht noch mehr verwirren. Du kannst die Variante nutzen.
Aber Du musst darauf achten, dass Du keine Benutzereingaben vergisst zu maskieren.

Gästebuch-logischer Fehler?

Jetzt mitmachen!

Teilen