Externes php einfügen

[gamemammut]

Hallo ich möchte gerne so etwas wie einen Zähler bauen:

<script language="JavaScript" type="text/javascript" src="https://www.xxxx/xxx.php?eintrag=1">

Das ist das Javascript, welches xxx.php includieren soll.

Wie muss ich die xxx.php gestalten, um "eintrag=1" in eine Variable umzuwandeln?

Oder kann man das irgendwie anders machen? Muss ich etwas beachten?

Edit:
So sieht die aufgerufene Datei aus:

<?
$dbhost = 'localhost';                                            
$dbuser = '';                                                
$dbpass = '';                                                
$dbname = '';
$post_id=$_GET['eintrag'];

echo $post_id;                                                                                    
$dbh = mysql_connect($dbhost,$dbuser,$dbpass)                            
    or die (mysql_error());    

mysql_select_db($dbname);

mysql_query("INSERT INTO myblogs (id,post_id) VALUES ('','$post_id')") or die(mysql_error());

echo"test";
?>

Aber leider wird nichts in die Datenbank eingetragen, auch echo $post_id und echo"test" werden nicht ausgegeben.

 

[gamemammut]

Hat jetzt doch geklappt, hab die Namen vertauscht, ist es auch möglich das noch ein Text mit aufgerufen wird, das echo $postid und echo "test" wir nämlich nicht angezeigt.

 

[Bububoomt]

Die Ausgabe wird ja test im JS sein, also wirst du nichts sehen, außer einem JS fehler vielleicht.

Wenn du eine ausgabe haben willst mußt du das machen:

echo "document.write('test');";

Denn alles was deine PHP datei ausgibt ist dann JS-Code und nicht HTML!

 

[joschilein]

Du solltest unbedingt daran denken SQL-Injections zu verhindern

 

[gamemammut]

Kannst du mir nen Tipp geben, wie ich das mache?

 

[joschilein]

Kannst du mir nen Tipp geben, wie ich das mache?

Niemals Daten des Nutzers ungeprüft in Querys verbauen

<?  // hier übrigens besser <?php verwenden
// ...
$post_id=$_GET['eintrag'];  // Völlig ungesichert
$post_id = mysql_real_escape($post_id); // Mal ein erster Ansatz

// ...
mysql_query("INSERT INTO myblogs (id,post_id) VALUES ('','$post_id')") or die(mysql_error());
?>

 

[gamemammut]

Ich habs mal mit addslashes versucht.

 

[DasGuru]

wenn die Daten an die Datenbank gesendet werden, würde ich mysql_real_escape_string verwenden

die Funktion berücksichtigt den aktuellen Zeichensatz

so könntest du dir eine kleine Funktion schreiben um die Daten dann sogar noch weiter zu prüfen (z.b. maximale Zeichenlänge ect)

function escape($str) {
   $str = mysql_real_escape($str);
   # weiter Stringmanipulationen hier
   return $str;
}

 

[Xot]

Ich habs mal mit addslashes versucht.

Solltest du als Datenbank-Encoding nicht UTF8 verwenden schau dir bitte folgenden Link an:
https://cow.neondragon.net/index.php/1302-Addslashes-Allows-Sql-Injection-Attacks

 

[joschilein]

würde ich mysql_real_escape_string verwenden

Die meinte ich natürlich auch. Da ich bei mir eine eigene Array-Variante nutze und diese auch nur direkt in einer Query-Klasse angesprochen wird, war mir der normale Name nur noch teilweise geläufig.