Mensajes

NewLog, revisa el código fuente del resultado que obtienes con tu código.

<FORM>
<BR>
Has escrito: (hola&lt;&gt;\\\\\\\\\\\\\\\&quot;n\\\\\\\&#039;-hla</FORM>

Para evitar el SQL Injection tan solo tendremos que colocar los parámetros entre comillas simples y filtrar la variable de entrada con htmlentities() o mysql_escape_string().

Y para evitar el RFI simplemente no hay que dejar en manos de una variable dinámica que archivo será el incrustado...

No quiero chafarte el pastel... Pero si continuas probando esta técnica por todos los foros por los que vas, te va a caer una buena. . .

Tan poco hay que exagerar, como mucho queda expulsado de ese foro, pero como bien dices, no es plan de ir probandolo en todos los foros.

Busca un poco http://www.google.es/search?hl=es&q=formulario+wap .

Si escribieras tu mensaje correctamente y con un contexto que se pudiera entender te respondería...

Código (php) [Seleccionar] Expandir

<?php
function limpia($var){
$malo = array("\\","\'","'","%",";",":","&","#");
$i=0;$o=count($malo);
while($i<=$o){
$var = str_replace($malo[$i],"",$var);
$i++;
}
return $var;
}

function fncTime($tmpStart, $tmpEnd) {
$expStart = explode(" ", $tmpStart); $intStart = $expStart[1].$expStart[0];
$expEnd = explode(" ", $tmpEnd); $intEnd = $expEnd[1].$expEnd[0];
return $intEnd-$intStart;
}

$string = "abcdefghijklmnñopkrstuvwkyz0123456789!\"#$%&'()*+,-./@?>=<;:";

$intStart = microtime(); $var =limpia($string); $intEnd = microtime();
echo "limpia() ".fncTime($intStart,$intEnd)."<br><br>";

$intStart = microtime(); $var = htmlentities($string, ENT_QUOTES); $intEnd = microtime();
echo "htmlentities() ".fncTime($intStart,$intEnd);
?>

   limpia() 0.00010871887207

   htmlentities() 2.86102294922E-5

En fin, sobran las palabras...

Posiblemente el navegador del móvil no soporte javascript, así que tendrás que recurrir al botón submit...

echo "<form action=\"".$_SERVER['PHP_SELF']."\" method=\"POST\">
<input type=\"hidden\" name=\"act\" value=\"1\">
Password:<br> <input type=\"password\" name=\"Password\" value=\"$postPassword\"><br><br>
Texto: <br><textarea name=\"Texto\">$strContenido</textarea><br>
<input type=\"Submit\" value=\"Guardar\">
</form>";

PD: Si escribes el error la próxima vez quizás nos facilites un poco más el trabajo.

Código (php) [Seleccionar] Expandir

<?php
$strArchivo = "archivo.txt";
$strPassword = "contraseña";
 
$postTexto = $_POST["Texto"];
$postPassword = $_POST["Password"];
$intAction = $_POST['act'];

if ($intAction == 1 and $postPassword==$strPassword) {
 
if($fp = fopen($strArchivo,"w+")){
fwrite($fp,stripslashes($postTexto));
fclose($fp);
} else {
die("Error de escritura");
}
 
echo "<b><font color=\"lime\">Archivo modificado</font></b> <br><br>";
 
} elseif (!empty($intAction)) {
echo "<b><font color=\"red\">Contraseña incorrecta</font></b> <br><br>";
}
 
if($fp = fopen($strArchivo,"r")) {
if (filesize ($strArchivo) > 0) {
$strContenido = fread ($fp, filesize ($strArchivo));
}
fclose($fp);
} else {
die("Error de lectura");
}

echo "<form action=\"".$_SERVER['PHP_SELF']."\" method=\"POST\">
<input type=\"hidden\" name=\"act\" value=\"1\">
Password:<br> <input type=\"password\" name=\"Password\" value=\"$postPassword\"><br><br>
Texto: <br><textarea name=\"Texto\">$strContenido</textarea><br>
<a href=\"javascript:document.forms[0].submit()\">Guardar</a>
<!-- <input type=\"Submit\" value=\"Guardar\"> -->
</form>";
?>

Se un poco más expresivo...

Quieres que al visitar la página web se muestre el contenido del archivo y que para poder modificarlo primero se deba escribir una contraseña, ¿no?

PD: El código actual muestra el contenido del archivo en el textarea.

Los fallos de los que tu hablas causan el desbordamiento del buffer, y si nos ponemos así pues creamos nuestro propio lenguaje por que lo que veo tienes miedo a usar las funciones nativas que trae PHP...

Para hacer una inclusión de un archivo externo, en la configuración de PHP, la claúsula allow_url_include debe de estar activada.