nieuws bewerken met fckeditor

Door Roland Braat op 20-12-2008 19:23

770 views

Ik ben bezig om een nieuws systeempje te maken.
Toevoegen verwijderen lukt allemaal wel.
Bewerken ook wel maar nog niet op de manier ik het wil hebben.

Ik wil graag fckeditor erbij gebruiken, die gebruik ik ook bij het toevoegen, maar bij het bewerken weet ik niet hoe ik deze moet toevoegen.
Dus op de manier dat de nieuwsbericht in de textarea van die editor geladen word.
Kan iemand mij hierbij even helpen?

Dit is nu mijn bewerk pagina maar daar moet dus die editor nog in

<?php include('../includes/config1.php');?>
<?php
If(IsSet($_GET['id']))
{
$query = "SELECT id, title, bericht FROM news WHERE id=".Mysql_Real_Escape_String($_GET['id']);
$result = mysql_query($query) or die(mysql_error());
{
If($_SERVER['REQUEST_METHOD'] == 'POST')
{
if ( trim( $_POST['title'] ) == '' )
{
echo 'De titel is niet ingevuld.<br />
<a href="javascript:history.go(-1)" title="Ga terug">Ga terug</a>';
}
Else
{
Mysql_Query("UPDATE news SET title='".($_POST['title'])."', bericht='".($_POST['bericht'])."' WHERE id=".Mysql_Real_Escape_String($_GET['id']));
echo 'De wedstrijd is bijbewerkt.<br>
<input type="submit" value="Klik om te sluiten" onclick="parent.parent.GB_hide();">';
}
}
Else
{
while ($row = mysql_fetch_assoc($result))
{
echo '<form method="post">
Titel:<br />
<input type="text" name="title" value="'.$row['title'].'" /><br />
Bericht:<br />
<input type="text" name="bericht" value="'.$row['bericht'].'" />
<br />
<input type="submit" value="Opslaan" />
</form>';
}
}
}
}
Else
{
echo 'Er is geen ID mee gegeven.';
}
?>

Frank -

20-12-2008 19:27

<?
Mysql_Query("UPDATE news SET title='".($_POST['title'])."', bericht='".($_POST['bericht'])."' WHERE id=".Mysql_Real_Escape_String($_GET['id']));
?>
Geen foutafhandeling en tot 2x toe een gigantische mogelijkheid tot SQL injection. Waar kunnen we deze code vinden?

En waarom beveilig je de GET-variabele wel? Dat is nergens voor nodig, je hebt al 2 fraaie beveiligingslekken in 1 query, dan kun je die ene mysql_real_escape_string() ook nog wel weggooien, die gaat je dan ook niet meer redden... Of zou het soms handig zijn om die 2 lekken te gaan dichten?

En wie zegt dat de query altijd lukt en altijd iets zal updaten? Er is niet 1 reden te bedenken. Kijk eens naar mysql_affected_rows(), die kan je een hoop ellende/aannames besparen.

Ariën

20-12-2008 19:36

Er is een value functie.
Iets als:
$FCKeditor->value= "<b>Bla die bla</b>";

Heb FCKeditor niet bij de hand nu, maar ik weet dat het idd de value-method was.

Roland Braat

21-12-2008 07:30

@pgFrank wat de beveiliging betreft daar kun je daar misschien wat meer over uitleggen.
Want daar snap ik nog niet zoveel van.

@Aar:

Ik heb deze regels kunnen vinden die aansluiten op wat jij in gedachtte had.
<?php
$oFCKeditor = new FCKeditor('bericht') ;
$oFCKeditor->BasePath = 'fckeditor/' ;
$oFCKeditor->Value = $row['bericht'] ;
$oFCKeditor->Create() ;
?>

Dan werkt het thx.

Reageren

Inloggen om te reageren