Externes php einfügen

[gamemammut]

Hallo ich möchte gerne so etwas wie einen Zähler bauen:

PHP-Code:

1:

<script language="JavaScript" type="text/javascript" src="http://www.xxxx/xxx.php?eintrag=1">

Das ist das Javascript, welches xxx.php includieren soll.

Wie muss ich die xxx.php gestalten, um "eintrag=1" in eine Variable umzuwandeln?

Oder kann man das irgendwie anders machen? Muss ich etwas beachten?

Edit:
So sieht die aufgerufene Datei aus:

PHP-Code:

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17:

<? $dbhost = 'localhost';                                             $dbuser = '';                                                 $dbpass = '';                                                 $dbname = ''; $post_id=$_GET['eintrag']; echo $post_id;                                                                                     $dbh = mysql_connect($dbhost,$dbuser,$dbpass)                                 or die (mysql_error());     mysql_select_db($dbname); mysql_query("INSERT INTO myblogs (id,post_id) VALUES ('','$post_id')") or die(mysql_error()); echo"test"; ?>

Aber leider wird nichts in die Datenbank eingetragen, auch echo $post_id und echo"test" werden nicht ausgegeben.

[gamemammut]

Hat jetzt doch geklappt, hab die Namen vertauscht, ist es auch möglich das noch ein Text mit aufgerufen wird, das echo $postid und echo "test" wir nämlich nicht angezeigt.

[Bububoomt]

Die Ausgabe wird ja test im JS sein, also wirst du nichts sehen, außer einem JS fehler vielleicht.

Wenn du eine ausgabe haben willst mußt du das machen:

Code:

1:
echo "document.write('test');";

Denn alles was deine PHP datei ausgibt ist dann JS-Code und nicht HTML!

[joschilein]

Du solltest unbedingt daran denken SQL-Injections zu verhindern

[gamemammut]

Kannst du mir nen Tipp geben, wie ich das mache?

[joschilein]

Zitat:

Zitat von gamemammut

Kannst du mir nen Tipp geben, wie ich das mache?

Niemals Daten des Nutzers ungeprüft in Querys verbauen

PHP-Code:

1: 2: 3: 4: 5: 6: 7: 8:

<?  // hier übrigens besser <?php verwenden // ... $post_id=$_GET['eintrag'];  // Völlig ungesichert $post_id = mysql_real_escape($post_id); // Mal ein erster Ansatz // ... mysql_query("INSERT INTO myblogs (id,post_id) VALUES ('','$post_id')") or die(mysql_error()); ?>

[gamemammut]

Ich habs mal mit addslashes versucht.

[DasGuru]

wenn die Daten an die Datenbank gesendet werden, würde ich mysql_real_escape_string verwenden

die Funktion berücksichtigt den aktuellen Zeichensatz

so könntest du dir eine kleine Funktion schreiben um die Daten dann sogar noch weiter zu prüfen (z.b. maximale Zeichenlänge ect)

PHP-Code:

1: 2: 3: 4: 5:

function escape($str) {    $str = mysql_real_escape($str);    # weiter Stringmanipulationen hier    return $str; }

[Xot]

Zitat:

Zitat von gamemammut

Ich habs mal mit addslashes versucht.

Solltest du als Datenbank-Encoding nicht UTF8 verwenden schau dir bitte folgenden Link an:
http://cow.neondragon.net/index.php/...ection-Attacks

[joschilein]

Zitat:

Zitat von DasGuru

würde ich mysql_real_escape_string verwenden

Die meinte ich natürlich auch. Da ich bei mir eine eigene Array-Variante nutze und diese auch nur direkt in einer Query-Klasse angesprochen wird, war mir der normale Name nur noch teilweise geläufig.