#1 Simpel Forum compleet in te bouwen V.1

- Variablen buiten quotes ( ' ).
- Je mag je wachtwoord eruit halen O.O
- Addslashes bij mysql Querys

Een aantal opmerkingen...

Database:
- Inloggegevens van je eigen database zou ik even censureren. Niet zo handig om dat aan de hele wereld te verkondigen.
- Het aantal views sla je op in een kolom in de 'vraag' tabel. Liever zou ik daar een aparte tabel voor zien, waar je elk bezoek in een apart record vast legt.
- Ook het aantal reacties is een resultaat van een berekening, dus dit hoor je niet in deze tabel op te slaan. Dit is namelijk een direct gevolg van een COUNT() in de 'antwoord' tabel van het aantal antwoorden met een bepaald vraag_id.

Toevoegen van topics:
- Script is gevoelig voor sql injectie! Gebruik altijd mysql_real_escape_string() om de input van een gebruiker te beveiligen voordat je het wegschrijft naar een database.
- Controleer ook altijd of een formulier wel daadwerkelijk gepost is. Het aanroepen van toevoegen_topic.php vanuit de browser zorgt ervoor dat er allemaal lege records in je database komen te staan. Lijkt me niet echt leuk als iemand de F5 knop heeft gevonden.
- Bij het mislukken van een sql query, is het ook altijd handig om de error weer te geven door mysql_error() te gebruiken.

Bekijken van topics:
- Ik vind dat je erg veel queries gebruikt. $sql3 is bijvoorbeeld al overbodig aangezien je die gegevens ook al met $sql opgehaald hebt. Daarnaast kun je $sql en $sql2 ook combineren.
- De variabele $bekeken in $sql4 is daar niet juist. $bekeken was immers 'empty' dus is het niet logisch om hem in te voeren in een database.
- Ik mis het else-statement om $sql5. Die wil je toch alleen utivoeren als $bekenen niet empty is?

Toevoegen van reacties:
- Hier maak je echt een kapitale fout! Het begint met het feit dat de kolom antwoord_id in de 'antwoord' tabel niet een auto_increment heeft. Jij bepaalt nu het antwoord_id door te kijken naar het hoogste antwoord_id dat gekoppeld is aan een bepaald vraag en er daar vervolgens 1 bij op te tellen. Het gevolg is dat jij dus geen uniek id aan je antwoorden koppelt waardoor antwoorden in je database niet meer uniek zijn. Elk antwoord hoort zijn eigen unieke id te hebben, op die manier is het namelijk ook mogelijk om een antwoord te verwijderen of aan te passen.
- Wederom gevoeligheid voor sql injectie en de foutmelding bij het mislukken van de query.

Algemeen:
- Haal altijd variabelen buiten quotes. Het zijn variabelen en geen strings ;)
- Gebruik in plaats van MyISAM liever de InnoDB engine van mysql aangezien je daarmee ook foreign key constraints kunt aanbrengen. Nu hangt je database nog als los zand aan elkaar.

Verder vind ik dat je veel en duidelijk commentaar bij je script hebt gegeven, dat zal een beginner zeker helpen. Nu alleen nog even de fouten er uit halen en je script nog wat beveiligen.

oke bedankt voor je lange feedback hier heb ik zeker wat aan..

@blanche
je schrijft dat stukje over sql4 met die $bekeken erin..

die staat toch in die If{ } en de if word alleen ingegaan ALS
bekeken leeg is.. als bekeken vol zit slaat die sql 4 over..
dus als die leeg is gaat die de if in.. dan word $bekeken=1 en
is die dus niet meer leeg



volgens mij klopt je beredenering daar dan niet of zie ik wat over het hoofd?

is dit ook in te bouwen in een loginsysteem???

@thomas.
dat is een kwestie van jou logincode te includen..

bijv.
include('alleen_voor_leden.php');

ervanuitgaande dat in die alleen_voor_leden.php staat aangegeven
iets van:

Dat snap ik. Op een beveiligde pagina, maar ik wil dat inplaats van de ingevoerde naam de gebruikersnaam van mijn loginsysteem word weergegeven.

dat kan ook..
Dan moet je de invulvelden koppele
aan je user en wachtwoord db..

dan in toevoegen_topic.php
en toevoegen_antwoord.php
een check maken of je ingelogd ben..
zoja voeg toe
zoniet niet toevoegen maar melding..

dus ja dat kan

Dat had ik inderdaad over het hoofd gezien. Zo klopt het wel.

Verder zou ik in plaats van addslashes() de functie mysql_real_escape_string() gebruiken. Deze laatste is nog wat grondiger in het toevoegen van slashes.

oke blanche ga ik morgen is ff bekijke dan
en het resterende van je feedback ook nog
bedankt voor je tijd

Je hebt nooit (ik bedoel: nooit) addslashes() of mysql_real_escape_string() nodig! Nooit dus. Je kent namelijk je omgeving, dus je weet of magic_quotes_gpc() aan of uit staat. Als ie uit staat moet je m aan zetten (dmv een .htaccess welteverstaan). Als ie aan staat worden al je quotes automatisch geslasht. Ergo, nooit addslashes of familie nodig.

Blanche je bent een zeikerd. Het is een tutorial voor beginners. InnoDB voegt niks toe aan deze tutorial. Het maakt een forum niet beter of slechter.

Je zegt "Het aantal views sla je op in een kolom in de 'vraag' tabel. Liever zou ik daar een aparte tabel voor zien, waar je elk bezoek in een apart record vast legt.". En dat is slim van Marvin, want anders moet ie steeds (live) alles gaan tellen. Dat is onzin. Dit is efficient.

Andere puntjes weer wel gelijk.
Ik vind het erg jammer dat dit een tutorial is en dat er geen goedkeurings commissie is op phphulp. Er staan namelijk dingen in die zo gewoon fout worden aangeleerd aan mensen.
Het hele 'formulier gepost' gebeuren (het blijft leuk) bijvoorbeeld.
Je gaat er gewoon van uit dat bepaalde waarden bestaan... Je gaat er van uit dat een pagina alleen geopend wordt als en wanneer jij dat wilt.
Als je beginners iets wil leren met deze tut, leer het ze dan goed:
controleer ALTIJD AL je variabelen, voordat je er iets mee doet!

En PLEASE -alleen voor jou-, zet error_reporting op 4095! Dan zie je waar je mee bezig bent.

oke cervetti dat is wederom een goede feedback...



hier heb ik al wat aan gedaan toch? hij checked nu of de knop is ingedrukt op de vorige pagina dmv de if(isset($_POST['toevoegen']))
als je nu zelf de pagina's opent dan geeft die die melding als het goed is..

Dat doen we niet met if(isset($_POST['toevoegen'])) maar met if($_SERVER['REQUEST_METHOD'] == 'POST')

hoe gaat het dan in zijn werk als ik 2 knoppen heb met beide een andere functie? dus als knop A is voor naar pagina 1 te gaan en knop B voor pagina 999? dus 2 totaal andere functies?

Dan blijft het nog zoals Newbie zegt

ok, weer wat geleerd

Gelukkig dat magic_quotes_gpc eruit gaan in PHP 6!

En mysql_real_escape_string is niet grondiger; hij houdt rekening met de verbindingstaal die er met de mysql server is.

Er zit opmaak verwerkt in de HTML. Jammer een gemiste kans.

Je doet vaak dit soort dingen: $naam = $_POST['naam'] is niet nodig.

$naam = $_POST['naam']

maakt het voor mij makkelijker omdat ik dan steeds minder hoef te tikken.
het is niet nodig.. maar het heeft verder geen nadeel zover ik weet...

Wel je gebruikt 2 keer zoveel geheugen.
Het script duurt langer.(met 2 of 3 niet maar bij duizend).
Je krijgt twee dezelfde variabelen met de zelfde informatie - beetje overbodig.

dan heb ik nog mijn 2e alternatief die
geen extra geheugen vraagt maar wel sneller is

dat doet uiteindelijk hetzelfde maar dan zonder extra
geheugen... ook bij 1000 stuks





$naam = $_POST['naam']

wordt dan dus gewoon meteen al $naam

hetzelfde bereikt zonder extra geheugen..

de POST wordt $

Maar waarom niet $_POST['naam'] gebruiken? Je moet er namelijk toch nog mysql_real_escape_string() overheen halen voordat je het naar de database schrijft.

Dus dit is niet overbodig:

Ik ben er nu een beetje mee aan het stoeien, maar eh.. tis beetje brak.
Waarom gebruik je short tags

terwijl je het wel goed doet in het "meeste" van je scripts. Dus

Weet je hoeveel beginners je hiermee de nek kunt breken. ;0)

Datums horen in database als DATE of DATETIME te staan niet als VARCHAR.


Ook zit er iets fout in bekijk_topic.php Als je een topic aanklikt dan selecteer je $sql="SELECT * FROM vraag, antwoord WHERE id='$id'";
Daar selecteerd hij alles van vraag, maar de antwoorden niet.. Daar gaat hij helemaal in de knoop, dat heb ik nog niet uitgevonden hoe die werkt.

ik zoek een manier om van die tabel maken een gewoon .sql bestand te maken is die er?
da's veel handigger ook voor de beginners


p.s.
ik ben kij slecht in php maar toch wil ik het graag gebruiken

@ jasper:

Ik snap niet zo goed waarom maar goed...:
Gewoon kladblok openen daarin dit zetten:


CREATE TABLE `vraag` (
`id` int(4) NOT NULL auto_increment,
`topic` varchar(255) NOT NULL default '',
`bericht` longtext NOT NULL,
`naam` varchar(65) NOT NULL default '',
`email` varchar(65) NOT NULL default '',
`datumtijd` varchar(25) NOT NULL default '',
`bekeken` int(4) NOT NULL default '0',
`reacties` int(4) NOT NULL default '0',
PRIMARY KEY (`id`)
) TYPE=MyISAM AUTO_INCREMENT=1 ;


CREATE TABLE `antwoord` (
`vraag_id` int(4) NOT NULL default '0',
`antwoord_id` int(4) NOT NULL default '0',
`antwoord_naam` varchar(65) NOT NULL default '',
`antwoord_email` varchar(65) NOT NULL default '',
`antwoord_antwoord` longtext NOT NULL,
`antwoord_datumtijd` varchar(25) NOT NULL default '',
KEY `antwoord_id` (`antwoord_id`)
) TYPE=MyISAM;

bestand ->Opslaan als -> forum.sql

dahm wat is life simpel ;0)

en als total noob (ben ik niet), is er een voorbeeld online??

ik wil hem misschien gebruiken en aanpassen, maar ik heb momenteel geen tijd om het op mijn eigen server te zetten, ik moet eerst mijn eigen member systeem updaten voordat ik een forum kan plaatsen

is er een admin bij? dan neem ik hem!!!

admin kan je juist makkelijk zelf maken, het is het forum zelf wat iets lastiger is

MarViiN's,

antwoorden op vragen werkt niet

@willem
probleem is weer verholpen khad er wat mee gekloot
maar vergeten te corrigeren.. bedankt voor de tip!!

alles doet het tot bekijk_topic.php

ik krijg dan deze error op de pagina

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /home/vhosts/dj-darkpredator.ctrlalthost.com/forum/bekijk_topic.php on line 16

de code is $sql="SELECT * FROM vraag WHERE id=".$id";";

@bastiaan:

het moet ook zijn:

$sql="SELECT * FROM vraag WHERE id=".$id.";";
zie de punt voor & na $id

Ik krijg bij antwoord toevoegen nu deze melding:

Parse error: syntax error, unexpected ';' in /home/******/public_html/forum/toevoegen_antwoord.php on line 32

waar mis ik iets?

regel 32
in antwoord_toevoegen

moet zijn

Hallo prachtige tutorial het forum lijkt bij mij te lukken. Maar heb wel een klein probleem wanneer ik een nieuw topic maak. Lijkt het te werken zo komen de gevenens in de database te staan. En de tabel van het forum wordt ook groter maar je ziet de tekst niet staan?

@niels
dan is er niets ingevuld bij het aanmaken misschien??
in welke pagina krijg je deze error dan?

hij krijgt dus geen error ;)

@leroy
ik heb duidelijk teveel gezopen gister haha

Heb het ff bekeken & getest, maar bij bekijk_topic.php krijg ik bij het stukje voor reactie: Unknown column 'id' in 'where clause'. Komt denk ik door dit stukje
$sql2="SELECT * FROM antwoord WHERE id=".$id.";";

dat moet denk ik zijn:
$sql2="SELECT * FROM antwoord WHERE vraag_id=".$id.";";

dan werkt de hele pagina namelijk wel =P

@geert..
thnx klopt zal het even veranderen..

ik kan alvast verklappen dat ik bezig ben met een V2 van deze tutorial..

graag gedaan Marvin, maar wordt die V2 dan een (wat) uitgebreider forum of wordt er dan op een andere manier gescript? (of blijft dat nog een verrassing? =P)

@geert

Zoiezo worden er diverse dingen veranderd met betrekking
tot alle feedback op deze tutorial..

en zodra ik weer tijd genoeg heb zal ik voordat ik hem er
hier op zet dingen toevoegen..

de V2 gaat bevatten:
- admin pagina's
- geregistreerden kunnen hun eigen avater plaatsen
- eigen posts bewerken..
- rankings (admin, schrijver, lezer, etc..etc..)
- quotes (plus misschien BB codes)..
- en verder, tja idee?n zijn welkom natuurlijk

alleen een inlogsyteem, dus dat alleen leden kunnen schrijven, en niet iedereen. Voor de rest ben ik heel erg benieuwd naar V2

Het datamodel van deze tutorial deugt van geen kant, NoFI..

werkt niet bij mij

Ik heb hem zover kunnen maken en probeer meteen wat aan te passen.

In de bekijk.php word naam en email weergegeven samen met de topic.
Graag zou ik het email-adres als mailto-link willen zien.

Weet iemand hoe ik dat moet aanpassen in het script?

38| echo $rij['email'];


Alvast bedankt!

@Cees

Maak van je oude lijn 38 het volgende:
38| echo '<a href="mailto:'.$rij['email'].'">'.$rij['email'].'</a>';

@remco

Thnx, snap nu ook waarom!

op een 1 of andere manier krijg ik het niet voor elkaar om in de bekijk_topic pagina berichten met het goede id te laten verschijnen... als ik bv een berichtje schijf in een topic met id=21 en ik druk op toevoegen dan dan gaat hij naar toevoegen_antwoord.php en dan klik je om terug te gaan naar het topic en dan staat er niks.. hij schrijft hem dan weg naar id='' (leeg) zeer vreemd. terwijl als ik hem vaste waardes meegeef hij wel schrijft naar het aangegeven id..

iemand een id ?

Alvast Bedankt.

ik krijg de volgende foutmelding in toevoegen_antwoord
Parse error: syntax error, unexpected ';' in /home/flexbuild/domains/flexbuild.weesenbeek.nl/public_html/support/forum/save/toevoegen_antwoord.php on line 119

dit is de lijn hieronder:



die heb ik veranderd naar:


en dan krijg ik dit

Parse error: syntax error, unexpected T_VARIABLE in /home/flexbuild/domains/flexbuild.weesenbeek.nl/public_html/support/forum/save/toevoegen_antwoord.php on line 119

De ; moet in elk geval helemaal achteraan staan, maar binnen de SQL-string (dus tussen de dubbele quotes " ) mag er ook een ; staan. Deze mag je echter ook wel weghalen, dat maakt hier niet uit. Het zou wel vreemd zijn als PHP daar over struikelt, maar het kan.

vin het echt een mooie tutorial veel uitgelegt !!
alleen mis ik nog een forumonderwerp pagina eigenlijk.

Waar je uit verschillende onderwerpen kan kiezen en daarbinnen zijn topics. Heeft iemand dat misschien voor mij??

Eey Erg bedankt heb er heel wat van opgestoken :)
Maar ik krijg een eror als ik op toevoegen druk bij het reageren Maar Dan plaatst hij wel gewoon de reactie
Eror: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\xampp\htdocs\forum\toevoegen_antwoord.php on line 33
Ik heb het Opgelost Voor mensen die dit ook hebben Verwijder Lijn 33 :)

@ stijn:

die error staat er niet voor niets, als je lijn 33 verwijdert werkt het script niet meer..

kijk of je verbinding maakt en of er weldegelijk resultaten in de databse staan.