Form / Input / type hjælp

smid noget javascript på den som kører submit på formen

Javascript er ikke lige min stærke side.

Hvordan ville du sætte det ind? Hvis du da overhovedet gider

utestet:

<form name="form1" method="post" action="" id="givEn"><input name="1point" type="image" src="img/1stjerner.gif"
onclick="document.givEn.submit()"
/></form>

der er sikkert bedre metoder

Det gør ingen forskel.. Den submitter ikke og mit script reagere ikke på den :-/

Det skal vidst være name i stedet for id.

<form name="form1" method="post" action="" name="givEn"><input name="1point" type="image" src="img/1stjerner.gif"
onclick="document.givEn.submit();"
/></form>

Nope, virker heller ikke... Hmm

Hov, der er jo to names nu :P Do'H :)

Har kogt den lidt ned:
<form name="givEn" method="post" action="index.php">
<input type="image" src="img/1stjerner.gif" onclick="document.givEn.submit();">
</form>

Havde sådan set selv lavet lidt om i det hehe :)

Men det virker sgu stadig ikke. Det er sgu lidt en belastning :)

Det er altså lidt underligt. Jeg har testet det i FF 3. Der virker det fint på min server...

Problemet er at det jo samarbejder med php... Og den skal submitte data til min database...

Hvilket den ikke gør når det er med image

Okay. Det ændrer lidt på hvad det er. Lad os se på dette:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Test</title>
</head>
<body>
<?php
if(isset($_POST['hej'])) echo($_POST['hej']);
if(isset($_POST['billede'])) echo($_POST['billede']);
?>


<form name="givEn" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input name="billede" type="image" src="img/1stjerner.gif" value="Her er også noget" onClick="document.givEn.submit();">
<input name="hej" type="text" value="Hejsa">
</form>


</body>
</html>

Dette giver et output fra mine to echoes:
Echo1: Hejsa
Echo2: Her er også noget

arh, så hvordan ville du få den til at samarbejde med det her stykke kode?

<?php
$res = mysql_query("select * from sjovspas where id = '$_GET[sid]'");
if(mysql_num_rows($res) == "0");
$rs = mysql_fetch_object($res);
session_start();

if($_POST['1point']){
if($_SESSION['loggetind'] !== "yes"){
echo "
<script language='Javascript'>
alert ('Du skal være logget ind for at afgive stemmer')
</script>
";
}
else
if($_POST['1point']){
$news_hits = ($rs->hits + 1);
$a_s = ($rs->antalstemmer + 1);
$a_p = ($rs->antalstemmepoint + 1);
mysql_query("update $table_1 set hits = '$news_hits' where id = '$rs->id'");
mysql_query("update sjovspas set antalstemmer = '$a_s' where id = '$rs->id'");
mysql_query("update sjovspas set antalstemmepoint = '$a_p' where id = '$rs->id'");
echo "
<script language='Javascript'>
alert ('Du har givet 1 point til denne film')
</script>
";
}
}
else

etc.

Det skal jo lige siges at billedet jo vises, så det er ikke det der er problemet...

Billedet vises, men de samarbejder ikke

Eventuelt sådan her:


-------------PHP------------------
<?php
$res = mysql_query("select * from sjovspas where id = '$_GET[sid]'");
if(mysql_num_rows($res) == "0");
$rs = mysql_fetch_object($res);
session_start();

if(isset($_POST['1point'])){
if($_SESSION['loggetind'] !== "yes"){
echo "
<script language='Javascript'>
alert ('Du skal være logget ind for at afgive stemmer')
</script>
";
}
else
if(isset($_POST['1point']) && $_POST['1point'] == "on"){
$news_hits = ($rs->hits + 1);
$a_s = ($rs->antalstemmer + 1);
$a_p = ($rs->antalstemmepoint + 1);
mysql_query("update $table_1 set hits = '$news_hits' where id = '$rs->id'");
mysql_query("update sjovspas set antalstemmer = '$a_s', antalstemmepoint = '$a_p where id = '$rs->id'");
echo "
<script language='Javascript'>
alert ('Du har givet 1 point til denne film')
</script>
";
}
}
else



------------FORM---------------


<form name="givEn" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input name="1point" id="billede" type="image" src="img/1stjerner.gif" value="Her er også noget" onClick="document.getElementById('billede').value = 'on'; document.givEn.submit();">
</form>

nu koder jeg normalt ikke i PHP, men er den

select * from sjovspas where id = '$_GET[sid]'

ikke direkte farlig? Kan brugeren angive 'sid' på en eller anden måde?

Jo, det har du ret i. Han kan også gøre værere ting.
mysql_real_escape_string() ville være en god funktion at bruge her.

<ole>

Brug mysqli i stedet  ;o)

/mvh
</bole>

den kender jeg så ikke lige

skriver normalt i perl

Nogen der gider forklarer mig hvorfor at det er direkte farligt?

Og det skal forklares som om du snakkede til en 5 årig..

Derudover, så virker det ikke... Well, jeg kan sgu snart ikke se nogle løsninger :)

Lad os sige at SID som brugeren skriver er følgende
'; DROP TABLE sjovspas;'

select * from sjovspas where id = '$_GET[sid]'
select * from sjovspas where id = ''; DROP TABLE sjovspas;'

Resultatet kunne være, hvis mysql_query tog imod 2 querys på én gang, at sjovspass bliver slettet.
Hvis du bruger mysql_real_escape_string ville
'; DROP TABLE sjovspas;'
komme til at se således ud:
\'; DROP TABLE sjovspas;\'
Og queryen ville nok ikke give mening, men ikke give adgang for angriberen.
select * from sjovspas where id = '\'; DROP TABLE sjovspas;\''

det er netop denne slags fejl som gør alle disse SQL injektioer mulige.

hvis man har en applikation som kun skal læse fra DBen men ikke skrive til den (insert/update), så kan man lave en bruger til DBen som kun har select rettigheder så burde ovenstående ikke være så farligt vil bare give en fejl.

Hvordan har du problemet, for indsætter jeg formen i et tomt dokument, virker submittingen umiddelbart ...

-- en anden ting er, at et navn, der starter med et tal absolut ikke kan anbefales, da det ikke følger rekommendationerne !-)

Er der sket noget her siden sidst?

Desværre gik det sådan at jeg blev nødt til at lave en form for hver enkelt stjerne da intet af det virkede, hvilket jeg ikke forstår!