Quellcode einer Shoutbox

[Mannix]

Hallo Group,

unten ist der Quellcode für eine Shoutbox. Leider läuft das nicht. Es wird nichts in die Datenbank eingetragen und somit wird als Shoutbox auch nichts angezeigt. Fehlermeldung gibt es keine. Vielleicht erkennt jemand eine Lösung?

danke und gruß

Code: Alles auswählen

<?
//the host, name, and password for your mysql
mysql_connect("localhost","***","***");

//select the database
mysql_select_db("***");

if($submit)
{
   //use the PHP date function for the time
   $time=date("h:ia d/j/y");
   
   // inserting it into the shoutbox table which we made in the mysql statements before
   $result=MYSQL_QUERY("INSERT INTO shoutbox (id,name,message,time)".
      "VALUES ('NULL','$name', '$message','$time')");
}
?>
<?
//returning the last 5 messages
$result = mysql_query("select * from shoutbox order by id desc limit 5");

//the while loop
while($r=mysql_fetch_array($result))
{		
   //getting each variable from the table
   $time=$r["time"]; 
   $id=$r["id"];
   $message=$r["message"];
   $name=$r["name"];
?>
   <? echo $time ?><br>
   <? echo $name ?><br>
   <? echo $message ?><br>
<? } ?>
<form action="<? echo $php_self ?>" method="post">
<INPUT TYPE='TEXT' value='name' NAME='name' SIZE=30 maxlength='100'><br>
<INPUT TYPE='TEXT' value='message' NAME='message' SIZE=30 maxlength='100'>
<input type="submit" name="submit" value="submit">
</form>

[larsneo]

Leider läuft das nicht.

...was vielleicht auch ganz gut so ist. das unvalidierte schreiben von GET&POST variablen (was im obigen beispiel auch noch register_globals=on voraussetzt) in die datenbank wäre auch eine *ganz* schlecht idee - stichwort mysql-injektion (die unvalidierte ausgabe von datenbankinformationen bringt dazu noch ein nettes XSS)

[Pyramide]

Mangels Fehlerbehandlung könnte die Ursache genausogut auf DB-Seite liegen...also am besten das ganze Script einstampfen und ein besseres suchen.