richiesta record da query

[fuorigiri]

Ciao, ho sto tribulando per risolvere questa query:
richiamo la pagina di un record in particolare con una variabile e visualizzo 6 record, ma il tipo selezionato ne ha più di sei !!! la seconta ho messo l'indice che viane visualizzato ma cliccando non funziona

il primo link che visualizza la pagina e http://www.********.com/all_tipoMoto...e=MOTO%20GUZZI

la seconda pagina che crea l'indice e così

http://www.*******.com/all_tipoMoto1.php?start=6

ma non visualizza nessun record

P.S: la query dell'indice e questa:

<div id="posizione1">
<div class="precedente">
<?php
if($start >0)
{$start_back = $start - $step;
echo"|<a href=all_tipoMoto1.php?start=$start_back>precedent i</a>";
}
?>
</div>
<?php
$query="SELECT count(*) as moto FROM recensioni WHERE moto ='$recensione'";
$result = mysql_query($query, $db);
$row = mysql_fetch_array($result);
$pages=intval(($row[moto]-1)/ $step)+1;
?>
<div class="centro">
<?php
for ($i=0; $i<$pages AND $i<6; $i++)
{ $start_page = $i * $step;
echo"<a href=all_tipoMoto1.php?start=$start_page>".($i+1). "</a> ";
}
?>
</div>
<div class="successivo">
<?php
if ($start + $step < $row[moto])
{ $start_next = $start + $step;
echo"<a href=all_tipoMoto1.php?start=$start_next>successiv i</a>|";
}
?>
</div>
</div>
spero di essere stato chiaro molto probabilmente sbaglio la composizione dell'indirizzo ma non capisco come fare

[fuorigiri]

Non mi risponde nessuno, chiedo troppo!! ho sbagliato a sottoporvi il mio problema ???
Se qualche anima pia potrebbe rispondermi
vi rimando alla pagina per capire meglio
http://www.motogriffe.com/all_tipoMo...e=MOTO%20GUZZI
e la pagina dove faccio le prove

[k.b]

Non passi il valore di "recensione". Prova a guardare http://www.motogriffe.com/all_tipoMo...0GUZZI&start=6

Certo, cercare di spiegare il problema un po' meglio aiuterebbe, perche' "richiamo la pagina di un record in particolare con una variabile e visualizzo 6 record, ma il tipo selezionato ne ha più di sei !!! la seconta ho messo l'indice che viane visualizzato ma cliccando non funziona" e' una frase incomprensibile.

[alcio74]

Non insegno né lettere né italiano, per cui evito di fare commenti sulla sintassi e sulla grammatica, però penso di poterti dare qualche dritta su PHP.

Come prima cosa.
Hai mai sentito parlare della direttiva register_globals del php.ini???
Secondo me il tuo problema è che speri di recuperare la variabile presente nella URL ($start) semplicemente richiamandola come fai te.
Se nel php.ini del tuo ambiente di sviluppo, la variabile che ti ho segnalato è su OFF (come dovrebbe), allora la variabile che tu passi nella URl va "ripescata" dall'array superglobale $_GET.

Scrivi il codice come segue e vedi se in questo modo ti funziona.

Codice PHP:

<div id="posizione1">
<div class="precedente">
<?php

$start = $_GET['start'];

if($start >0)
{$start_back = $start - $step;
echo" | <a href=all_tipoMoto1.php?start=$start_back>precedenti</a>";
}
?>
</div>
<?php
$query="SELECT count(*) as moto FROM recensioni WHERE moto ='$recensione'";
$result = mysql_query($query, $db);
$row = mysql_fetch_array($result);
$pages=intval(($row[moto]-1)/ $step)+1;
?>
<div class="centro">
<?php
for ($i=0; $i<$pages AND $i<6; $i++)
{ $start_page = $i * $step;
echo"<a href=all_tipoMoto1.php?start=$start_page>".($i+1)."</a> ";
}
?> 
</div>
<div class="successivo">
<?php
if ($start + $step < $row[moto])
{ $start_next = $start + $step;
echo"<a href=all_tipoMoto1.php?start=$start_next>successivi</a> | ";
}
?>
</div>
</div>

Nel link che ti ho passato c'è il motivo per il quale nelle nuove installazioni di PHP c'è questa modifica al file di configurazione: LA SICUREZZA!

Ad ogni modo, per vedere come è configurato il tuo ambiente (sia esso di sviluppo oppure il server), crei una pagina info.php e all'interno scrivi questo codice.

Codice PHP:

<?php

phpinfo();

 ?>

Una volta caricata questa pagina nel server, la richiami da browser e la leggi attentamente.

Per il tuo script, prima fai la modifica che ti ho detto io, poi se hai errori posta di nuovo.

[k.b]

In realta' lo script funziona (vedi link che ho postato sopra con il valore di recensione scritto a mano nell'URL). Solo che se non passi 'recensione' lo script sa da dove partire ($start) ma non cosa prendere.

[alcio74]

In realta' lo script funziona (vedi link che ho postato sopra con il valore di recensione scritto a mano nell'URL). Solo che se non passi 'recensione' lo script sa da dove partire ($start) ma non cosa prendere.

Lo script funziona (a metà) per via della register_globals, ma è proprio li il problema: se si può inserire una variabile al volo nella url e questa viene letta, non oso pensare quello che può succedere se qualche simpaticone inizia a mettere script in JS nella URL.

Tornando al discorso di K.B., ha ragione: manca il riferimento alla variabile $recensione.

[k.b]

Originariamente inviato da alcio74
Lo script funziona (a metà) per via della register_globals, ma è proprio li il problema: se si può inserire una variabile al volo nella url e questa viene letta, non oso pensare quello che può succedere se qualche simpaticone inizia a mettere script in JS nella URL.

Tornando al discorso di K.B., ha ragione: manca il riferimento alla variabile $recensione.

Si beh register_globals e' solo una parte del problema, ed in realta' vengono date a quella direttiva piu' colpe di quelle che ha. In se' disattivare register_globals fa poco, quando la gente usa:
$username = $_GET['username'];
$password = $_GET['password'];
e poi usa le variabili cosi' come arrivano dall'URL senza filtrarle. Chiaro che register_globals apre ulteriori rischi di sicurezza, ma il semplice uso dei global array non garantisce nulla. Anzi per sfruttare una vulnerabilita' grazie a register_globals devi beccare una variabile di cui non sai il nome e che non sia stata inizializzata (succede eh per carita', molte variabili hanno nomi facilmente indovinabili e raramente chi usa register_globals ha l'accortezza di inizializzarle tutte).

In sostanza disattivare register_globals e' una buona norma di sicurezza, ma se non filtri adeguatamente i dati che ottieni da GET/POST il tuo script e' comunque vulnerabile a injection/cross site scripting.

[fuorigiri]

Originariamente inviato da k.b
Non passi il valore di "recensione". Prova a guardare http://www.motogriffe.com/all_tipoMo...0GUZZI&start=6

Certo, cercare di spiegare il problema un po' meglio aiuterebbe, perche' "richiamo la pagina di un record in particolare con una variabile e visualizzo 6 record, ma il tipo selezionato ne ha più di sei !!! la seconta ho messo l'indice che viane visualizzato ma cliccando non funziona" e' una frase incomprensibile.

scusa se ti rispondo solo adesso comunque e vero ma ho provato a creare questo per rendere l'indirizzo come guistamente mi fai notare ma non vede la variabile $recensione !!!
guarda:

<?php

$start = $_GET['start'];
$recensione = $_GET['recensione'];
if($start >0)
{$start_back = $start - $step;
echo" | <a href=all_tipoMoto1.php?recensione=$recensione&star t=$start_back>precedenti</a>";
}
?>
</div>
<?php
$query="SELECT count(*) as moto FROM recensioni WHERE moto ='$recensione'";
$result = mysql_query($query, $db);
$row = mysql_fetch_array($result);
$pages=intval(($row[moto]-1)/ $step)+1;
?>
<div class="centro">
<?php
for ($i=0; $i<$pages AND $i<6; $i++)
{ $start_page = $i * $step;
echo"<a href=all_tipoMoto1.php?recensione=$recensione&star t=$start_page>".($i+1)."</a> ";
}
?>
</div>
<div class="successivo">
<?php
if ($start + $step < $row[moto])
{ $start_next = $start + $step;
echo"<a href=all_tipoMoto1.php?recensione=$recensione&star t=$start_next>successivi</a> | ";
}
?>
</div>
</div>

MA SE IO METTO LA VARIABILE IN UN ECHO E NON NELL'INDIRIZZO VIENE PASSATA TRANQUILLAMENTE NON CAPISCO

[k.b]

Prova con

Codice PHP:

$recensione = urlencode($_GET['recensione']); 


[fuorigiri]

hO CAPITO COSA NON FUNZIONAVA LA PAROLA moto guzzi ERA DIVISA E QUINDI HO MESSO UN UNDERSORE E LO SCRIPT E' ANDATO!!! COMUNQUE CI DOVRA ESSERE UN MODO PER EVITARE QUESTO PROBLEMA ??? IO HO RISOLTO COSI':

http://www.motogriffe.com/all_tipoMo..._GUZZI&start=6
GRAZIE COMUNQUE