Jump to content
Fórum Script Brasil
  • 0

Problema em postagem PHP


D@rk

Question

Boa tarde,

Estou usando um sistema de notícias que achei na internet. Estou com um pequeno problema: Toda vez que eu posto uma notícia, aonde tem espaço entre "." e o "texto", aparece um "nbsp". Ou seja, em todos os trechos da notícia que tiver . e espaço, aparece um nbsp.

porque isso? Como corrigir?

Abs.

Link to comment
Share on other sites

22 answers to this question

Recommended Posts

  • 0
Não entendi muito bem... Cadê o código?

Um abraço.

Prezado Willian, boa noite!

O que acontece, eu uso um sistema de notícias chamado supernews. Ele funciona perfeitamente, numa boa. Porém quando vou postar uma notícia, peguei um texto de um jornal (ctrl c ) em seguida colo (ctrl v) e mando postar. Ok , beleza, ele posta numa boa.

Porém em alguns trechos da notícia aparecem a sigla "nbps"

Exemplo, peguei uma notícia do globo.com, ficaria assim:

O policial militar João Dias Ferreira disse que não possui provas do envolvimento direto do atual ministro do Esporte, Orlando Silva, e de seu antecessor, Agnelo Queiroz, no suposto esquema de desvios de recursos públicos da pasta.nbps O policial militar negou que tenha gravado diálogos de Orlando Silva.nbps "Em nenhuma delas [das gravações] tem a voz do ministro".

Ao prestar novo depoimento nesta segunda-feira (24) à Polícia Federal, João Dias levou 13 arquivos de áudio e 4 ofícios emitidos pelo Ministério que, segundo ele, trazem "informações contraditórias" sobre a fiscalização dos repasses de verbas da pasta a entidades conveniadas.nbps Segundo o policial, o material envolveria assessores da c*pula do ministério.

Se você prestar a atenção, é sempre depois do "."

Eis a questão, porque????

Edited by D@rk
Link to comment
Share on other sites

  • 0

Olá Dark,

uma vez aconteceu isso comigo e a solução é que quando pego algum texto com formatações HTML, o ideal é colar primeiro em um bloco de notas e depois jogar para o sistema. Dessa forma você quebra quaisquer formatações. Tente fazer isso e veja se corrige.. o comando & n b s p é espaço do HTML.

abs

Link to comment
Share on other sites

  • 0

Caro amigo Willian,

Aproveitando o ensejo, tem um arquivo funcao.php que trata justamente desta parte e tem uma parte só cuidando do SQL Injection. Eu descobri um bug de login nesse sisteminha, se você entrar com login: # e senha: #, ele consegue logar, é uma falha de SQL Injection.

Porém a "#" já foi citada na parte de replace, segue o código:

<?php
/***************************************************************************
 *                                funcao.php
 *                            -------------------
 *   início               : Domingo, 08 de fevereiro de 2004
 *   copyright            : (C) 2003 - 2004 Fernando Pontes
 *   email                : odnanrefsetnop@bol.com.br
 *
 *   $Id: funcao.php,v 2.0 08/02/2004 22:56:30
 *
 *
 ***************************************************************************/

//// funcao que realiza a conexao com o banco de dados ////
function conexao_mysql($host,$user,$pass,$db_super_news){
global $host, $user, $pass, $db_super_news;
//verifica se as variaveis (host,user,pass,db_super_news) estao setadas
if(isset($host) and isset($user) and isset($pass) and isset($db_super_news)){
//realiza a conexao com o banco de dados
$conexao = @mysql_connect($host, $user, $pass);
//checa se a conexao foi bem sucedida
if(!$conexao){
print("<font color='#FF0000'>Error!! Impossível conectar-se ao MYSQL.</font>");
exit();
}

//verifica e seleciona o banco de dados
if(!@mysql_select_db($db_super_news, $conexao)){
print("<font color='#FF0000'>Error!! Impossível selecionar o banco de dados $db_super_news"  . mysql_error() . '</font>');
exit();
}

}else{
print("<font color='#FF0000'>Error!! Alguma(s) da(s) variáveis (host, user, pass, db_super_news), não está atribuída!!</font>");
}
}

//Formata a data do banco de dados MYSQL (ex.: 2004-02-08 22:56:30) para uma mais
//convencional (ex.: 08 de Fevereiro de 2004 - 22h 56min).

function formatData($data)
{
$dia = substr($data, 8, 2);
$mes = substr($data, 5, 2);
switch ($mes) {
  case 1:
    $newmes = "Jan";
    break;
  case 2:
    $newmes = "Fev";
    break;
  case 3:
    $newmes = "Mar";
    break;
  case 4:
    $newmes = "Abr";
    break;
  case 5:
    $newmes = "Mai";
    break;
  case 6:
    $newmes = "Jun";
    break;
  case 7:
    $newmes = "Jul";
    break;
  case 8:
    $newmes = "Ago";
    break;
  case 9:
    $newmes = "Set";
    break;
  case 10:
    $newmes = "Out";
    break;
  case 11:
    $newmes = "Nov";
    break;
  case 12:
    $newmes = "Dez";
    break;
}
$ano = substr($data, 0, 4);
$novadata = $dia . ' de ' . $newmes . ' de ' . $ano;
$novahora = $novadata . ' - ' . substr($data, 11, 2) . 'h' . substr($data, 14, 2) . 'min';
$datahora = $novahora;
return $datahora;
}

function MostrarCat($id){
    global $prefixdb;
    
    $idcat = $id;
    $query = mysql_query("SELECT * FROM {$prefixdb}notcategorias WHERE id=$idcat");
    if(mysql_num_rows($query) > 0){
        $linha = mysql_fetch_array($query);
        $categoria = $linha['categoria'];
        
        return $categoria;
    }
}

// Formata os dados retirando
// espaços e caracteres inválidos
// evitando SQL Injection
function formatDados($data) { 
    $data = strip_tags($data);
    $data = trim($data);
    $data = get_magic_quotes_gpc() == 0 ? addslashes($data) : $data;
    $data = preg_replace("@(--|\#|\*|;|select|union|drop|insert|delete|xp_|\=| or |-shutdown|update| and |&|')@s", "", $data);
    return $data;
}
?>

A linha $data = preg_replace trata disso. Porém mesmo assim, se eu digitar no login: # e na senha : # consegue logar.

Edited by D@rk
Link to comment
Share on other sites

  • 0

Olá Dark,

para evitar o sql_injection, tente fazer assim na sua query, veja abaixo:

$query = mysql_query(sprintf("SELECT * FROM {$prefixdb}notcategorias WHERE id='%s'",mysql_escape_string($idcat)));

abs

Eu coloquei o id como string (%s) como efeito de exemplo, mas você pode usar tb:

% - Um caractere porcento. Não é requerido neenhum argumento.

b - O argumento é tratado com um inteiro, e mostrado como um binário.

c - O argumento é tratado como um inteiro, e mostrado como o caractere ASCII correspondente.

d - O argumento é tratado como um inteiro, e mostrado como um número decimal com sinal.

u - O argumento é tratado com um inteiro, e mostrado como um número decimal sem sinal.

f - O argumento é tratado como um float, e mostrado como um número de ponto flutuante.

o - O argumento é tratado com um inteiro, e mostrado como un número octal.

s - O argumento é tratado e mostrado como uma string.

x - O argumento é tratado como um inteiro, e mostrado como um número hexadecimal (com as letras minúsculas).

X - O argumento é tratado como um inteiro, e mostrado como um número hexadecimal (com as letras maiúsculas).

Fonte:

http://www.php.net/manual/pt_BR/security.d...l-injection.php

abs

Link to comment
Share on other sites

  • 0

Dark,

desculpa, eu pensei que essa tabela fosse a do login e senha. Use a mesma técnica na tabela que você usa para autenticar o usuário...

Uma das técnicas usada é essa:

$sql = mysql_query(sprintf("SELECT * FROM admin WHERE NomeAdmin = '%s' AND SenhaAdmin = '%s'",mysql_escape_string($MtLogin),mysql_escape_string(md5(strrev($MtSenha)))));

$conta = mysql_num_rows($sql);

if($conta == 0):

$erro = "Login ou senha inválidos";

else:

// aqui você gera a sessão e libera o acesso ao sistema

endif;

Link to comment
Share on other sites

  • 0

Opa, tá na mão chefe!

<?php
/***************************************************************************
 *                                adm_noticias.php
 *                            -------------------
 *   início               : Domingo, 14 de março de 2004
 *   copyright            : (C) 2003 - 2004 Fernando Pontes
 *   email                : odnanrefsetnop@bol.com.br
 *
 *   $Id: adm_noticias.php,v 2.0 14/03/2004 10:03:47
 *
 *
 ***************************************************************************/
session_start();
require("../conexao.inc.php"); //alterar de acordo com seu diretorio
require("../funcao.php");

$corpo = false;

if (!isset($_SESSION['user_login'])) { //realiza a identificacao com o banco de dados

   if (isset($_POST['user_login']) and ($_POST['user_login'] != "") and isset($_POST['user_pass']) and ($_POST['user_pass'] != "")) {
    if (isset($host) and isset($db_super_news) and isset($user) and isset($pass)) {
    $conexao = mysql_connect($host, $user, $pass) or die("Impossível conectar-se ao mysql...<br>");

    mysql_select_db($db_super_news) or die("Impossível conectar-se com o banco de dados: " . $db_super_news . '<br>');
    
    $userLogin = formatDados($_POST['user_login']);
    $userPass = formatDados($_POST['user_pass']);
    
    $resultado = mysql_query("SELECT user,pass,status FROM {$prefixdb}login WHERE user='$userLogin'");
    if(!$resultado){
    die("Impossível realizar a consulta!" . mysql_error());
    }

    $line = mysql_fetch_array($resultado);

    if (strtolower($line[0]) == strtolower($userLogin)) {
        if ($line[1] == $userPass) {
            $corpo = true;
            $estatos = $line[2];
            $user_login = $userLogin;
            $user_pass = $userPass;
            
            $_SESSION['estatos'] = $estatos;
            $_SESSION['user_login'] = $user_login;
            $_SESSION['user_pass'] = $user_pass;
            $data = date("Y-m-d H:i:s");
            $resultado1 = mysql_query("UPDATE {$prefixdb}login SET ip='{$_SERVER['REMOTE_ADDR']}', data='$data' WHERE user='{$_POST['user_login']}'");
            if(!$resultado1){
            die("Impossível realizar a consulta!" . mysql_error());
            }
        }else{
            print("<center><font size='2' face='Verdana, Arial, Helvetica, sans-serif' color='#FF0000'><b>Password Incorreto!</b></font></center>");
        }
    }else{
        print("<center><font size='2' face='Verdana, Arial, Helvetica, sans-serif' color='#FF0000'><b>Login Incorreto!</b></font></center>");
    }
}
}
}else{
    $corpo = true;
}
if (!$corpo) {  //campo para login e password

?>
<html>

<head>
<title>Teopb - Login</title>
</head>

<body onload='document.formlogin.user_login.focus();'>
<br><br><br>
  <center>
  <table border="1" cellpadding="2" width="463" cellspacing="0" bgcolor="#eeeeee" bordercolor="#003300">
    <tr bordercolor="#003300">
      <td>
        <div align="center">
          <table border="0" cellpadding="0" cellspacing="0" width="460">
            <tr>
            <td height="20"></td>
            </tr>
            <tr>
              <td width="456">
                <p align="center"><b><img border="0" src="imagens/micro.gif" align="middle" width="32" height="32">&nbsp;
                <font face="Verdana, Arial, Helvetica, sans-serif" size="3" color="#009900">PAINEL ADMINISTRATIVO</font></b></p>
              </td>
            </tr>
            <tr>
              <td width="458" height="20"></td>
            </tr>
            <tr>
              <td width="458"><p align="center"><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#009900"><b>DIGITE SEU LOGIN E PASSWORD</b></font></center></td>
            </tr>
            <tr>
              <td width="458" height="20"></td>
            </tr>
            <tr>
              <td width="458">
              <center>
                 <form name="formlogin" method="post" action="<?php print($_SERVER['PHP_SELF']); ?>">
                 <table border="0" cellpadding="0" width="400">
                  <tr>
                    <td width="156">
                      <p align="right"><font face="Verdana, Arial, Helvetica, sans-serif" size="1"><b>Login:</b></font></p>
                    </td>
                    <td width="234"><input type="text" name="user_login"></td>
                  </tr>
                  <tr>
                    <td width="156">
                      <p align="right"><font face="Verdana, Arial, Helvetica, sans-serif" size="1"><b>Password:</b></font></p>
                    </td>
                    <td width="234"><input type="password" name="user_pass"></td>
                  </tr>
                  <tr>
                    <td colspan="2" width="394" height="20"></td>
                  </tr>
                  <tr>
                    <td colspan="2" width="394"><center><input type="submit" name="Submit" value="Entrar"> | <input type="reset" value="Limpar"></center></td>
                  </tr>
                </table>
                </form>
                </center>
             </td>
            </tr>
          </table>
        </div>
      </td>
    </tr>
  </table>

</body>

</html>
<?php

}

if ($corpo) {
          if (isset($_GET['acao']) and ($_GET['acao'] == "logout")) {
          session_destroy();
          print("<p align='center'><table width='300' border='0'>");
          print("<tr><td width='50%'><p align='center'><font face='Trebuchet MS' size='2'>Você está fora da administração Teopb!<br><a href='adm_noticias.php'>[Click aqui para entrar!]</a></font></td></tr></table>");
          die;
          }


?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Admin SuperNews v. <?php print($config['versao']); ?></title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<LINK href="adminsupernews.css" type="text/css" rel="stylesheet">

<link rel="stylesheet" href="style_editor.css" type="text/css">
&lt;script language="JavaScript" src="script_editorhtml.js"></script>
&lt;script language="JavaScript" src="WebUIValidation.js"></script>

&lt;script language="JavaScript">
function visualiza()
  {
  ChildWindow = window.open('visualizador.html', "VisualizadorPopUp", "width=600,height=600,top=200,left=200,toolbars=no,scrollbars=no,status=no,resizable=yes");
  }

//Script para confirmação de exclusão
function deleta(){
if(confirm("Tem certeza que deseja excluir esta notícia do banco de dados?")){
return true;
} else {
return false;
}
}
</script>

&lt;script language="JavaScript">
//redirecionamento de páginas
redirTime = "3000"; //Tempo
redirURL = "adm_noticias.php";  //url
function redirTimer(){
self.setTimeout("self.location.href = redirURL;",redirTime);}

//script que verifica se as dimensoes do formulario são numeros
function numeros(dimensao){
if(isNaN(dimensao)){
alert("Este campo pode conter só números!")
}
}

//script para abrir popup
function OpenWindow(FileNameToOpen,largura,altura)
{
newWindow = window.open(FileNameToOpen,'newwin', 'width='+largura+', height='+altura+', toolbar=no, scrollbars=yes, location=no, left=100, top=100')
if (newWindow.open)
{
newWindow.focus()
}
}
</script>
</head>

<body leftmargin="0" topmargin="0" <?php if(isset($_POST['envia']) || isset($_GET['deleta'])){ print('onLoad="redirTimer()"'); } ?>>
<a name="top"></a>
<table width="100%" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td height="70" bgcolor="#000000"><font color="#FFFFFF" size="3" face="Verdana, Arial, Helvetica, sans-serif">&nbsp;<em>Administra&ccedil;&atilde;o</em></font>
      <font face="Verdana, Arial, Helvetica, sans-serif" color="#FFFFFF" size="5"><font size="6">Super<em><font color="#FF6600">News</font></em> <?php print($config['versao']); ?></font></font></td>
  </tr>
  <tr>
    <td height="15" bgcolor="#FF9900"><div align="right"><font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="1"><?php include("../dataport.php"); ?>&nbsp;</font></div></td>
  </tr>
  <tr>
    <td valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0">
        <tr>
          <td width="20%" height="300" valign="top" bgcolor="#F2F2F2"><table width="97%" border="0" align="center" cellpadding="0" cellspacing="0">
              <tr>
                <td height="20">&nbsp;</td>
              </tr>
              <tr>
                <td height="15"><a class="menu" href="../index.php" target="_self">Home</a></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td height="15"><a class="menu" href="../leiame.html" target="_blank">SuperNews</a></font></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td height="15"><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000">Admin SuperNews</font></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td height="15"><a class="menu" href="mailto:odnanrefsetnop@bol.com.br" target="_self">Contatos</a></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
            </table></td>
          <td width="60%" valign="top"><table width="95%" border="0" align="center" cellpadding="0" cellspacing="0">
              <tr>
              <td height="5"></td>
              </tr>
              <tr>
                <td>
<!--Tabela de menus superiores para controle - inicio-->
<table border="0" width="100%" cellpadding="0" cellspacing="1">
  <tr>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=add_news"><img src="imagens/add_news.gif" width="100" height="15" alt="Adicionar Notícia" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=add_cat"><img src="imagens/add_cat.gif" width="100" height="15" alt="Adicionar Categoria" border=0></a></td>
    <td width="25%"><a href="../index.php"><img src="imagens/painel_news.gif" width="100" height="15" alt="Painel de Notícias" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=altuser"><img src="imagens/control_users.gif" width="120" height="15" alt="Controle de Usuário" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=comentario"><img src="imagens/comentarios.gif" width="120" height="15" alt="Comentários" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=logout"><img src="imagens/logout.gif" width="100" height="15" alt="Sair da Administração" border=0></a></td>
  </tr>
</table>
<!--Tabela de menus superiores para controle - fim-->
</td>
              </tr>
              <tr>
              <td height="10"></td>
              </tr>
              <tr>
                <td>
<?php
conexao_mysql($host,$user,$pass,$db_super_news);//funcao para conexao com o MYSQL

if(!isset($_GET['acao'])) {
?>
<font face="Verdana,Arial,Helvetica,sans-serif" size="1" color="#000000">

<div align="center"><center><table border="0" cellpadding="0" cellspacing="1" width="100%">
<tr><td><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Painel de Administra&ccedil;&atilde;o</b><br>Ol&aacute; <b><?php print($_SESSION['user_login']); ?></b>, Seja bem-vindo(a)</font></td></tr>
<tr>
<td><hr color="#CCCCCC"></td>
</tr>
<tr><td>
<?php
//Se a notícia for deletada
if(isset($_GET['deleta'])){
if(isset($_GET['unlink'])){ //alem de apagar o registro da news no banco de dados, apaga tambem a imagem no diretorio em que ele e armazenada
if(!unlink($_GET['unlink'])){
print("Error!! O arquivo não pode ser deletado do seu diretório devido a não ter permissões.");
}
}
$id = formatDados($_GET['deleta']);
$sql = "DELETE FROM {$prefixdb}noticias WHERE ID=$id";
if(@mysql_query($sql)){
print("<font color=\"#FF0000\" size=\"1\">A not&iacute;cia foi excluida com sucesso!</font><br>");
} else {
print("<font color=\"#FF0000\" size=\"1\">Erro ao excluir a no&iacute;cia " . mysql_error() . '</font><br>');
}
}
?>
</td></tr>
<tr><td><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000">As not&iacute;cias armazenadas no banco de dados <b><? print($db_super_news); ?></b> s&atilde;o:</font></td></tr><tr><td height="15"></td></tr>
<?php
//Faz a consulta no banco de dados
$resultado = mysql_query("SELECT * FROM {$prefixdb}noticias ORDER BY data DESC");
if(!$resultado){
die("Erro ao fazer a consulta no banco de dados: " . mysql_error() . '<br>');
}

//Verifica se há alguma noticia amazenada no banco de dados
if(mysql_num_rows($resultado) == 0){
print("<tr><td align=\"center\"><font color=\"#FF0000\" size=\"1\">Aten&ccedil;&atilde;o! N&atilde;o h&aacute; notícias no banco de dados <b>" . $db_super_news . '</b></font><br></td></tr>');
} else {
//script para paginacao
$num = mysql_num_rows($resultado);

// total de registros por página...
// você pode fixar ou deixar que o usuário escolha este valor...
$total_reg = $config['paginacao'];

// 10 registros ou menos...
if ($num <= $total_reg) {
    $total_paginas = 1;
}

// mais de 10 registros com valor múltiplo de 10...
if ($num%$total_reg == 0) {
    $total_paginas = $num / $total_reg;
}
// mais de 10 registros porém o valor não é múltiplo de 10...
else {
    // como a divisão não é exata, teremos que subtrair a parte que não é inteira e
    // acrescentar 1 página.
    $total_paginas = ($num/$total_reg) - (($num%$total_reg)/$total_reg) + 1;
}

if(!isset($_GET['paginacao'])){
    $paginacao = 1;
} else {
    $paginacao = $_GET['paginacao'];
}

// sabemos que o resultado da consulta é um array multidimensional, onde cada linha
// representa um registro...
// se o usuário está na página 2, devemos exiber as linhas numeradas de 19(inicial) à
// 28(final)...
// lembre-se que as pagina são numeradas iniciando em 1, mas o array de resultados inicia
// em 0(zero)...

$linha_inicial = ($paginacao - 1) * $total_reg;
$linha_final = $linha_inicial + $total_reg - 1;

// escrevendo os registros...
// vamos usar um marcador para sabermos se estamos entre a linha final e a linha inicial...
$marcador = 0;
    
//Este loop mostra todas as notícias inseridas no banco de dados
while($row = mysql_fetch_array($resultado)){

// se o marcador está dentro do intervalo desejado, escrevemos o registro...
if ($marcador >= $linha_inicial and $marcador <= $linha_final) {
    
$id = $row['ID'];
$idcategoria = $row['idcategoria'];
$diretorio = $row['diretorio'];
$titulo = $row['titulo'];
$data = $row['data'];
?><!--corpo principal de noticias-->
<tr><td><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000">
<p><b><?php print(MostrarCat($idcategoria)); ?></b><br>
<b><?php print(formatData($data)); ?></b><br><a class="titulo" href="?acao=noticia&noticia=<?php print($id); ?>">
<?php print($titulo); ?></a><br>
<?php if($diretorio == NULL){ ?>
<a class="delete" href="<?php print($_SERVER['PHP_SELF']); ?>?deleta=<?php print($id); ?>" Onclick="return deleta();">Deletar</a>
<?php } else { ?>
<a class="delete" href="<?php print($_SERVER['PHP_SELF']); ?>?deleta=<?php print($id); ?>&unlink=<?php print($diretorio); ?>" Onclick="return deleta();">Deletar</a>
<?php } ?>|
<a class="editar" href="<?php print($_SERVER['PHP_SELF']); ?>?acao=editar&editar=<?php print($id); ?>" target="_self">Editar</a></p>
</font></td></tr><tr><td height="15"></td></tr>
<?php
}
//incrementamos o marcador...
$marcador = $marcador + 1;

}
if($total_paginas != 1){
print('<tr><td><div align="right">');
// se estivermos na primeira página, o link "anterior" não precisa linkar nada...
if ($paginacao == 1) {
    print("");
}
// do contrário, linka a página anterior...
else {
    print('<a class="titulo" href="?paginacao='.($paginacao - 1).'" targe="_self">&laquo; anterior</a> |');
}

// gerando os números com os respectivos links...
$i = 1;
while ($i <= $total_paginas) {
    // a página atual não precisa ser linkada...
    if ($i == $paginacao) {
        print(" <b>[$i]</b> ");
    }
    // as demais páginas deve ser linkadas...
    else {
        print(' <a class="titulo" href="?paginacao='.$i.'" target="_self">'.$i.'</a> ');
    }
    $i = $i + 1;
}

// se estivermos na última página, o link "próximo" não precisa linkar nada...
if ($paginacao == $total_paginas) {
    print("");
}
// do contrário, linka a próxima página...
else {
    print('| <a class="titulo" href="?paginacao='.($paginacao + 1).'" targe="_self">próxima &raquo;</a>');
}

print("</div></td></tr>");
}else{
   print("");
}
}
?>
<tr><td><hr color="#CCCCCC"></td></tr>
<tr><td height="15"><p align="right"><a class="noticia" href="#top" target="_self">Topo</a> | <font size="1" face="Verdana, Arial, Helvetica, sans-serif">Total de not&iacute;cias: <b><?php print(mysql_num_rows($resultado)); ?></b></font></p></td></tr>
</table></center></div>
</font>
<?php
} elseif(isset($_GET['acao']) and ($_GET['acao'] == "noticia")) {
$id = formatDados($_GET['noticia']);
$resultado = mysql_query("SELECT * FROM {$prefixdb}noticias WHERE ID=$id");
if(!$resultado){
die("Impossível visualizar esta notícia: " . mysql_error() . '<br>');
}

//Realiza um loop atrás das informações inseridas na tabela supernews
while($row = mysql_fetch_array($resultado)){
$diretorio = $row['diretorio'];
$largura = $row['largura'];
$altura = $row['altura'];
$titulo = $row['titulo'];
$conteudo = $row['conteudo'];
$data = $row['data'];
?>
<table width="100%" align="center" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="2"><b><?php print($titulo); ?></b></font><br>
      <hr color="#000000"> </td>
  </tr>
  <tr>
    <td><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="1"><b><?php print(formatData($data)); ?></b></font><br>
      <hr color="#CCCCCC">
    </td>
  </tr>
  <tr>
    <td>
      <?php if($diretorio == ""){ //se o diretorio for igual a vazia isso significa que é uma noticia sem imagem e mostra so a noticia
      ?>
      <p align="left"><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="2"><?php print(nl2br($conteudo)); ?></font></p>
      <?php } else { //caso contrario mostra a noticia com a imagem
      ?>
      <img src="<?php print($config_galeria['urlgaleria'].$diretorio); ?>" width="<?php print($largura); ?>" height="<?php print($altura); ?>" align="left" border="1"><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="2"><?php print(nl2br($conteudo)); ?></font></p>
      <?php } ?>
    </td>
  </tr>
  <tr>
    <td><hr color="#CCCCCC"></td>
  </tr>
  <tr>
    <td><div align="center"><a class="links" href="java script:self.print()" onMouseOver="window.status='Imprimir'; return true">Imprimir</a>
        | <a class="links" href="adm_noticias.php" target="_self">Painel de Administração</a></div></td>
  </tr>
  <tr>
    <td><hr color="#000000"></td>
  </tr>
  <tr>
      <td>
    <?php
        $query = mysql_query("SELECT * FROM {$prefixdb}comentario WHERE status=1 AND idnoticia=$id ORDER BY data DESC");
        
        if(mysql_num_rows($query) > 0) {
            while($row = mysql_fetch_array($query)) {
                
                $idcoment = $row['ID'];
                $idnoticia = $row['idnoticia'];
                $nome = $row['nome'];
                $email = $row['email'];
                $comentario = $row['comentario'];
                $data = $row['data'];

                print('<table width="95%" border="0" cellspacing="2" cellpadding="2" align="center">
                  <tr>
                    <td bgcolor="#CCCCCC"><font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="1"><b>Nome:</b> '.$nome.'-<a class="titulo" href="mailto:'.$email.'">'.$email.'</a>&nbsp;&nbsp;&nbsp;&nbsp;Data:'.formatData($data).'</font></td>
                  </tr>
                  <tr>
                    <td bgcolor="#EEEEEE">
                    <font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="1"><b>Comentário:</b><br />
                    '.$comentario.'</font></td>
                  </tr>
                </table>');
            }
        }
    ?>          
      </td>
  </tr>  
</table>
<?php
}
?>

<br>
<font size="1" face="Verdana, Arial, Helvetica, sans-serif">+ Not&iacute;cias...</font><br>
<hr width="100%" color="#CCCCCC">
<?php
//aproveita a conexao aberta para mostra as noticias diferentes da que a pessoa está lendo
$resultado1 = mysql_query("SELECT * FROM {$prefixdb}noticias WHERE ID<>$id ORDER BY data DESC LIMIT 0, {$config['maisnews']}");
if(!$resultado1){
die("Impossível visualizar esta notícia: " . mysql_error() . '<br>');
}
if(mysql_num_rows($resultado1) == 0){
?>
<font face="Verdana, Arial, Helvetica, sans-serif" color="#FF0000" size="1">Adicione mais notícias.</font><br>
<?php
} else {
//Realiza um loop atrás das noticias inseridas na tabela supernews
while($row = mysql_fetch_array($resultado1)){
$id = $row['ID'];
$titulo = $row['titulo'];
print('<font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000"><a class="titulo" href="?acao=noticia&noticia=' . $id . '&titulo=' . $titulo . '">&raquo; ' . htmlentities($titulo) . '</a></font><br>');
}
}

} elseif(isset($_GET['acao']) and ($_GET['acao'] == "add_news")) { //adiciona as noticias

    include("adicionar.php");
    
} elseif(isset($_GET['acao']) and ($_GET['acao'] == "add_cat")) { //edita a noticia especificada

    include("adicionarcat.php");    

} elseif(isset($_GET['acao']) and ($_GET['acao'] == "editar")) { //edita a noticia especificada

    include("editar.php");
    
} elseif(isset($_GET['acao']) and ($_GET['acao'] == "comentario")) { //edita a noticia especificada

    include("comentario.php");    
    
}elseif(isset($_GET['acao']) and ($_GET['acao'] == "altuser")) { //edita, adiciona e exclue o usuario
?>
<div align="center"><a class="noticia" href="adm_noticias.php" target="_self">Painel de Administra&ccedil;&atilde;o</a></div><br>
<font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000"><b>Controle de Usuário:</b></font>
<hr color="#CCCCCC">
                  <strong><font size="1" face="Verdana, Arial, Helvetica, sans-serif">Máximo
                  de 8 caracteres no campo password</font></strong><br>
                  <br>
<center>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
          <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Alterar usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <form action="<?php print($_SERVER['PHP_SELF']); ?>" method="post"><!--Formulario para alterar user, inicio-->
            <table border="0" cellpadding="3" cellspacing="0" width="100%">
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Login:&nbsp;</b></font></td>
                <td width="65%"><input type="text" name="alterlogin" value="<?php print($_SESSION['user_login']); ?>" size="25"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Password:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="alterpass" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Confirmar:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="alterpass1" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%">
                <?php
                $resultado = mysql_query("SELECT ID FROM {$prefixdb}login WHERE user='{$_SESSION['user_login']}'");
                if(!$resultado){
                print("Não foi possível realizar a consulta " . mysql_error());
                }
                while($row = mysql_fetch_array($resultado)){
                $id = $row['ID'];
                }
                ?>
                <input type="hidden" name="alterarid" value="<?php print($id); ?>"></td>
                <input type="hidden" name="acao" value="altruser">
                <td width="65%"><div align="right"><input type="submit" name="enviar" value="Alterar"></div></td>
              </tr>
             </table>
            </form><!--Formulario para alterar user, fim-->
          </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<br>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
          <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Adicionar usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <form action="<?php print($_SERVER['PHP_SELF']); ?>" method="post"><!--Formulario para adicionar user, inicio-->
            <table border="0" cellpadding="3" cellspacing="0" width="100%">
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Login:&nbsp;</b></font></td>
                <td width="65%"><input type="text" name="newlogin" size="25"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Password:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="newpass" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Confirmar:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="newpass1" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%"><input type="hidden" name="acao" value="adicionaruser"></td>
                <td width="65%"><div align="right"><input type="submit" name="enviar" value="Adicionar"></div></td>
              </tr>
             </table>
            </form><!--Formulario para adicionar user, fim-->
          </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<br>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
          <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Excluir
            usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <form action="<?php print($_SERVER['PHP_SELF']); ?>" method="post"><!--Formulario para excluir user, inicio-->
              <table border="0" cellpadding="3" cellspacing="0" width="100%">
                <tr>
                  <td colspan="2">
                  <?php
                  // ## exibe a lista de todos os usuarios cadastrado ## //
                  $consulta = mysql_query("SELECT * FROM {$prefixdb}login");
                  if(!$consulta){
                  print("Error! Impossível realizar a consulta." . mysql_error());
                  }
                  while($row = mysql_fetch_array($consulta)){
                  $id = $row['ID'];
                  $user = $row['user'];

                  print("<input type='radio' name='del' value='$id'><font size='1' face='Verdana, Arial, Helvetica, sans-serif'> $user</font><br>\n");
                  }
                  ?>
                  </td>
                </tr>
                <tr>
                  <td width="65%"><input type="hidden" name="acao" value="deletaruser"></td>
                  <td width="65%"><div align="right">
                      <input type="submit" name="enviar" value="Excluir">
                    </div></td>
                </tr>
              </table>
            </form><!--Formulario para excluir user, fim-->
          </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<br>
<?php
if($_SESSION['estatos'] == 1){
?>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
        <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Status
         do usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <table border="0" cellpadding="3" cellspacing="0" width="100%">
                                    <tr>
                                      <td colspan="2">
                                        <?php
                  // ## exibe a lista de todos os usuarios cadastrado ## //
                  $consulta = mysql_query("SELECT * FROM {$prefixdb}login");
                  if(!$consulta){
                  print("Error! Impossível realizar a consulta." . mysql_error());
                  }
                  while($row = mysql_fetch_array($consulta)){
                  $id = $row['ID'];
                  $user = $row['user'];
                  $status = $row['status'];

                  print('<form action="' . $_SERVER['PHP_SELF'] . '?acao=alteruser" method="post">');
                  print('<input type="text" name="status" value="' . $status . '" size="2" maxlength="1"><font size="1" face="Verdana, Arial, Helvetica, sans-serif">' . $user . '-->');
                  if($status == 1){
                  print("<b>Administrador</b>");
                  }else{
                  print("<b>Usuário</b>");
                  }
                  print("</font><input type=\"hidden\" name=\"id\" value=\"$id\"><input type=\"hidden\" name=\"acao\" value=\"alterstatus\"><br><input type=\"submit\" name=\"enviar\" value=\"Alterar\"></form><br>\n");
                  }
                  ?>
                                      </td>
                                    </tr>
                                    <tr>
                                      <td colspan="2"><font size="2" face="Arial, Helvetica, sans-serif"><strong>1
                                        </strong>para administrador<strong><br>
                                        0 </strong>para usu&aacute;rio</font></td>
                                    </tr>
                                    <tr>
                                      <td width="65%"></td>
                                      <td width="65%"></td>
                                    </tr>
                                  </table>
            </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<?php
}
?>
<hr color="#CCCCCC">
<br>
<div align="center"><a class="noticia" href="#top">Topo</a> | <a class="noticia" href="adm_noticias.php" target="_self">Painel de Administra&ccedil;&atilde;o</a></div>
</center>
<?php
}

if(isset($_POST['acao'])) { //script responsavel pela alterações de login e password
    
    if($_POST['acao'] == "altruser") {
       if(isset($_POST['alterlogin']) and ($_POST['alterlogin'] != "") and isset($_POST['alterpass']) and ($_POST['alterpass'] != "") and isset($_POST['alterpass1']) and ($_POST['alterpass1'] != "")){
       
       $alterarId = formatDados($_POST['alterarid']);
       
       $resultado2 = mysql_query("SELECT user FROM supernews_login WHERE ID=$alterarId");
       
       if(!$resultado2){
       print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
       }

       $row = mysql_fetch_array($resultado2);
       $usuario = $row['user'];

       if(strtolower($_POST['alterlogin']) == strtolower($usuario)) {
            if($_POST['alterpass'] == $_POST['alterpass1']){

               $alterLogin =  formatDados($_POST['alterlogin']);
               $alterPass = formatDados($_POST['alterpass']);               
            
               $resultado = mysql_query("UPDATE {$prefixdb}login SET user = '$alterLogin', pass = '$alterPass' WHERE ID=$alterarId");
               
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Usuário alterado com sucesso. <br> As alterações teram efeito na próxima altenticação.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
            }else{
            print("<br><br><center><pre><b>Error!! Os campos de senhas devem ser iguais.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
       } elseif(strtolower($_POST['alterlogin']) != strtolower($usuario)) {
           
       $alterLogin =  formatDados($_POST['alterlogin']);
       $alterPass = formatDados($_POST['alterpass']);
               
       $resultado2 = mysql_query("SELECT user FROM {$prefixdb}login WHERE user='$alterLogin'");
       if(!$resultado2){
       print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
       }
       $row = mysql_fetch_array($resultado2);
       $usuario = $row['user'];

            if(strtolower($alterLogin) != strtolower($usuario)){
            if($alterPass == $_POST['alterpass1']){
               $resultado = mysql_query("UPDATE {$prefixdb}login SET user = '$alterLogin', pass = '$alterPass' WHERE ID=$alterarId");
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Usuário alterado com sucesso. <br> As alterações teram efeito na próxima altenticação.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
            }else{
            print("<br><br><center><pre><b>Error!! Os campos de senhas devem ser iguais.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
            }else{
            print("<br><br><center><pre><b>Usuário já exitente, mude de login.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
       }
       }else{
       print("<br><br><center><pre><b>Error!! Todos os campos são obrigatórios.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
       }
    }
    elseif($_POST['acao'] == "adicionaruser") { //script responsavel pelo cadastro de login e password
     if($_SESSION['estatos'] == 1){
       if(isset($_POST['newlogin']) and ($_POST['newlogin'] != "") and isset($_POST['newpass']) and ($_POST['newpass'] != "") and isset($_POST['newpass1']) and ($_POST['newpass1'] != "")){
           
               $newlogin = formatDados($_POST['newlogin']);        
               $newpass = formatDados($_POST['newpass']);
               
            $resultado1 = mysql_query("SELECT user FROM {$prefixdb}login WHERE user='$newlogin'");
            
            if(!$resultado1){
            print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
            }
            $row = mysql_fetch_array($resultado1);
            $usuario = $row['user'];
            //Realiza primeiro a consulta acima para verifica se o login a ser cadastrado já existe, caso negativo ele realiza o cadastramento, mas se o login existe ele não cadastra
            if(strtolower($newlogin) != strtolower($_SESSION['user_login'])){
            if($newpass == $_POST['newpass1']){
               $resultado = mysql_query("INSERT INTO {$prefixdb}login SET user = '$newlogin', pass = '$newpass', status=0");
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Usuário adicionado com sucesso.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
            }else{
            print("<br><br><center><pre><b>Error!! Os campos de senhas devem ser iguais.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
            }
            else{
            print("<br><br><center><pre><b>Usuário já exitente, mude de login.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
       }else{
       print("<br><br><center><pre><b>Error!! Todos os campos são obrigatórios.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
       }
     }else{
     print("<br><br><center><pre><b>Você não tem autorização para adicionar este usuário. <br>Contate seu administrador.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
     }
    } elseif($_POST['acao'] == "deletaruser") {
        if(isset($_POST['del']) and ($_POST['del'] != "")){
           if($_SESSION['estatos'] == 1){
                
                   $del = formatDados($_POST['del']);
           
                  $resultado = mysql_query("DELETE FROM {$prefixdb}login WHERE ID=$del");
                if(!$resultado){
                print("Error! Impossível realizar a consulta." . mysql_error());
                }
                print("<br><br><center><pre><b>Usuário excluido com sucesso.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
                }else{
                print("<br><br><center><pre><b>Você não tem autorização para excluir este usuário. <br>Contate seu administrador.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
                }
        }else{
        print("<br><br><center><pre><b>Escolha um usuário para ser excluído.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
        }
    } elseif($_POST['acao'] == "alterstatus") {
           if(isset($_POST['status']) and ($_POST['status'] != "")){
                  
               $id = formatDados($_POST['id']);
               $status = formatDados($_POST['status']);
               
               $resultado = mysql_query("UPDATE {$prefixdb}login SET status = '$status' WHERE ID=$id");
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Status do Usuário alterado com sucesso. <br> As alterações teram efeito na próxima altenticação.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
          }else{
          print("<br><br><center><pre><b>Error!! Este campo é obrigatório.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
          }
    }
}
?>
                </td>
              </tr>
              <tr>
                <td>&nbsp;</td>
              </tr>
            </table></td>
          <td width="20%" height="300" valign="top" bgcolor="#F2F2F2"><table width="100%" border="0" cellspacing="0" cellpadding="0">
              <tr>
                <td height="20">&nbsp;</td>
              </tr>
              <tr>
                <td><font size="2" face="Arial, Helvetica, sans-serif"><strong>&nbsp;Busca<font color="#FF6600"><em>News</em></font></strong></font></td>
              </tr>
              <tr>
                <td><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td><table width="95%" border="0" align="center" cellpadding="0" cellspacing="1">
                    <tr>
                      <td><form method="post" action="../busca.php"><!--busca da noticia-->
                    <font size="2" face="Verdana, Arial, Helvetica, sans-serif">Palavra: </font>
                    <input type="text" name="palavra">
                    <input type="hidden" name="buscar">
                    <input type="submit" value="Buscar">
                    </form></td>
                    </tr>
                  </table></td>
              </tr>
              <tr>
                <td>&nbsp;</td>
              </tr>
              <tr>
                <td>&nbsp;</td>
              </tr>
            </table></td><!--coluna direita-->
        </tr>
      </table></td>
  </tr>
  <tr>
    <td height="30" bgcolor="#F2F2F2"><div align="center"><font size="1" face="Verdana, Arial, Helvetica, sans-serif">&copy;
        2003 - 2007 : <a class="email" href="mailto:odnanrefsetnop@hotmail.com">SuperNews</a> : Todos os direitos reservados</font></div></td>
  </tr>
</table>
</body>
</html>
<?php
}
?>

Edited by D@rk
Link to comment
Share on other sites

  • 0

Oi Dark,

se não me engano é na variável $resultado. Coloque como está abaixo e tente novamente:

$resultado = mysql_query(sprintf("SELECT user,pass,status FROM {$prefixdb}login WHERE user='%s'",mysql_escape_string($userLogin)));

é aconselhável você também validar a senha, pois pelo que percebi, só está validando o usuário.

tente e veja se consegue acessar com sql injection.

abs

validando a senha tb ficaria assim:

$resultado = mysql_query(sprintf("SELECT user,pass,status FROM {$prefixdb}login WHERE user='%s' AND pass = '%s'",mysql_escape_string($userLogin),mysql_escape_string($userPass)));

Link to comment
Share on other sites

  • 0

Modifiquei, fiz um teste aqui e funfou... veja:

$resultado = mysql_query(sprintf("SELECT user,pass,status FROM {$prefixdb}login WHERE user='%s' and pass = '%s'", mysql_escape_string($userLogin), mysql_escape_string($userPass)));

$contar = mysql_num_rows($resultado);

if($contar == 0){

die("Impossível realizar a consulta!" . mysql_error());

}

abraços

veja essa linha:

$contar = mysql_num_rows($resultado);

Observe que se o resultado for igual a zero, ou seja, se não constar o login e senha no banco, ele não deixa acessar.

abraços

Link to comment
Share on other sites

  • 0

Grande, perfeito!

Funcionou. Agora posso apagar o user que tinha criado pois o script ta reforçado. Muito obrigado!

Man, sem querer abusar da sua boa vontade, a minha dúvida inicial, o lance do nbsp, você tem ideia como eu poderia quebrar isso?

Mais uma vez obrigado.

Abração!!!

Link to comment
Share on other sites

  • 0
Perfeito... quanto ao nbsp, tente colocar dessa forma:

strip_tags($textodanoticia, '& nbsp');

veja se funciona... o comando está separado, porque o fórum pode interpretar como comando HTML e não aparecer....

abs

fera,

a linha ta assim: $data = strip_tags($data);

eu uso o $textodanoticia ou o $data???

abs.

Link to comment
Share on other sites

  • 0
Essa variável $data é o conteúdo da notícias? se for, tente dessa forma:

$data = strip_tags($data, '& nbsp');

veja se funciona...

é eu já tinha feito, sub entendi isso, pois essa variável textonoticia n existe....

Cara eu acho que funcionou sim, fiz os testes aqui e a princípio esta ok!

é q tinha casos em q eu copiava o texto ele dava prob, e outros não. Mas testei de uns 5 lugares diferentes tá ok.

Muito Obrigado MTavares, resolvido!

Abração,

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Forum Statistics

    • Total Topics
      152.2k
    • Total Posts
      652k
×
×
  • Create New...