Problema em postagem PHP

[D@rk]

Boa tarde,

Estou usando um sistema de notícias que achei na internet. Estou com um pequeno problema: Toda vez que eu posto uma notícia, aonde tem espaço entre "." e o "texto", aparece um "nbsp". Ou seja, em todos os trechos da notícia que tiver . e espaço, aparece um nbsp.

porque isso? Como corrigir?

Abs.

[Willian Gustavo Veiga]

Não entendi muito bem... Cadê o código?

Um abraço.

[D@rk]

Não entendi muito bem... Cadê o código?

Um abraço.

Prezado Willian, boa noite!

O que acontece, eu uso um sistema de notícias chamado supernews. Ele funciona perfeitamente, numa boa. Porém quando vou postar uma notícia, peguei um texto de um jornal (ctrl c ) em seguida colo (ctrl v) e mando postar. Ok , beleza, ele posta numa boa.

Porém em alguns trechos da notícia aparecem a sigla "nbps"

Exemplo, peguei uma notícia do globo.com, ficaria assim:

O policial militar João Dias Ferreira disse que não possui provas do envolvimento direto do atual ministro do Esporte, Orlando Silva, e de seu antecessor, Agnelo Queiroz, no suposto esquema de desvios de recursos públicos da pasta.nbps O policial militar negou que tenha gravado diálogos de Orlando Silva.nbps "Em nenhuma delas [das gravações] tem a voz do ministro".

Ao prestar novo depoimento nesta segunda-feira (24) à Polícia Federal, João Dias levou 13 arquivos de áudio e 4 ofícios emitidos pelo Ministério que, segundo ele, trazem "informações contraditórias" sobre a fiscalização dos repasses de verbas da pasta a entidades conveniadas.nbps Segundo o policial, o material envolveria assessores da c*pula do ministério.

Se você prestar a atenção, é sempre depois do "."

Eis a questão, porque????

Editado Outubro 24, 2011 por D@rk

[MTavares]

Olá Dark,

uma vez aconteceu isso comigo e a solução é que quando pego algum texto com formatações HTML, o ideal é colar primeiro em um bloco de notas e depois jogar para o sistema. Dessa forma você quebra quaisquer formatações. Tente fazer isso e veja se corrige.. o comando & n b s p é espaço do HTML.

abs

[D@rk]

Engraçado, eu já tinha percebido isso. Se eu digitar um texto no próprio campo não acontece isso. Justamente acontece quando copio e colo..... Vou testar o lance do bloco de notas.

[D@rk]

Realmente a dica quebra o galho, mas será que não tem uma solução paleativa a essa?

Abs.

[Willian Gustavo Veiga]

Remova este caracter indesejado (com str_replace ou outra função).

Um abraço.

[D@rk]

Caro amigo Willian,

Aproveitando o ensejo, tem um arquivo funcao.php que trata justamente desta parte e tem uma parte só cuidando do SQL Injection. Eu descobri um bug de login nesse sisteminha, se você entrar com login: # e senha: #, ele consegue logar, é uma falha de SQL Injection.

Porém a "#" já foi citada na parte de replace, segue o código:

<?php
/***************************************************************************
 *                                funcao.php
 *                            -------------------
 *   início               : Domingo, 08 de fevereiro de 2004
 *   copyright            : (C) 2003 - 2004 Fernando Pontes
 *   email                : odnanrefsetnop@bol.com.br
 *
 *   $Id: funcao.php,v 2.0 08/02/2004 22:56:30
 *
 *
 ***************************************************************************/

//// funcao que realiza a conexao com o banco de dados ////
function conexao_mysql($host,$user,$pass,$db_super_news){
global $host, $user, $pass, $db_super_news;
//verifica se as variaveis (host,user,pass,db_super_news) estao setadas
if(isset($host) and isset($user) and isset($pass) and isset($db_super_news)){
//realiza a conexao com o banco de dados
$conexao = @mysql_connect($host, $user, $pass);
//checa se a conexao foi bem sucedida
if(!$conexao){
print("<font color='#FF0000'>Error!! Impossível conectar-se ao MYSQL.</font>");
exit();
}

//verifica e seleciona o banco de dados
if(!@mysql_select_db($db_super_news, $conexao)){
print("<font color='#FF0000'>Error!! Impossível selecionar o banco de dados $db_super_news"  . mysql_error() . '</font>');
exit();
}

}else{
print("<font color='#FF0000'>Error!! Alguma(s) da(s) variáveis (host, user, pass, db_super_news), não está atribuída!!</font>");
}
}

//Formata a data do banco de dados MYSQL (ex.: 2004-02-08 22:56:30) para uma mais
//convencional (ex.: 08 de Fevereiro de 2004 - 22h 56min).

function formatData($data)
{
$dia = substr($data, 8, 2);
$mes = substr($data, 5, 2);
switch ($mes) {
  case 1:
    $newmes = "Jan";
    break;
  case 2:
    $newmes = "Fev";
    break;
  case 3:
    $newmes = "Mar";
    break;
  case 4:
    $newmes = "Abr";
    break;
  case 5:
    $newmes = "Mai";
    break;
  case 6:
    $newmes = "Jun";
    break;
  case 7:
    $newmes = "Jul";
    break;
  case 8:
    $newmes = "Ago";
    break;
  case 9:
    $newmes = "Set";
    break;
  case 10:
    $newmes = "Out";
    break;
  case 11:
    $newmes = "Nov";
    break;
  case 12:
    $newmes = "Dez";
    break;
}
$ano = substr($data, 0, 4);
$novadata = $dia . ' de ' . $newmes . ' de ' . $ano;
$novahora = $novadata . ' - ' . substr($data, 11, 2) . 'h' . substr($data, 14, 2) . 'min';
$datahora = $novahora;
return $datahora;
}

function MostrarCat($id){
    global $prefixdb;
    
    $idcat = $id;
    $query = mysql_query("SELECT * FROM {$prefixdb}notcategorias WHERE id=$idcat");
    if(mysql_num_rows($query) > 0){
        $linha = mysql_fetch_array($query);
        $categoria = $linha['categoria'];
        
        return $categoria;
    }
}

// Formata os dados retirando
// espaços e caracteres inválidos
// evitando SQL Injection
function formatDados($data) { 
    $data = strip_tags($data);
    $data = trim($data);
    $data = get_magic_quotes_gpc() == 0 ? addslashes($data) : $data;
    $data = preg_replace("@(--|\#|\*|;|select|union|drop|insert|delete|xp_|\=| or |-shutdown|update| and |&|')@s", "", $data);
    return $data;
}
?>

A linha $data = preg_replace trata disso. Porém mesmo assim, se eu digitar no login: # e na senha : # consegue logar.

Editado Outubro 25, 2011 por D@rk

[MTavares]

Olá Dark,

para evitar o sql_injection, tente fazer assim na sua query, veja abaixo:

$query = mysql_query(sprintf("SELECT * FROM {$prefixdb}notcategorias WHERE id='%s'",mysql_escape_string($idcat)));

abs

Eu coloquei o id como string (%s) como efeito de exemplo, mas você pode usar tb:

% - Um caractere porcento. Não é requerido neenhum argumento.

b - O argumento é tratado com um inteiro, e mostrado como um binário.

c - O argumento é tratado como um inteiro, e mostrado como o caractere ASCII correspondente.

d - O argumento é tratado como um inteiro, e mostrado como um número decimal com sinal.

u - O argumento é tratado com um inteiro, e mostrado como um número decimal sem sinal.

f - O argumento é tratado como um float, e mostrado como um número de ponto flutuante.

o - O argumento é tratado com um inteiro, e mostrado como un número octal.

s - O argumento é tratado e mostrado como uma string.

x - O argumento é tratado como um inteiro, e mostrado como um número hexadecimal (com as letras minúsculas).

X - O argumento é tratado como um inteiro, e mostrado como um número hexadecimal (com as letras maiúsculas).

Fonte:

http://www.php.net/manual/pt_BR/security.d...l-injection.php

abs

[D@rk]

Mesma coisa....

Consigo entrar normalmente com Login: # e Senha: #

[MTavares]

Dark,

desculpa, eu pensei que essa tabela fosse a do login e senha. Use a mesma técnica na tabela que você usa para autenticar o usuário...

Uma das técnicas usada é essa:

$sql = mysql_query(sprintf("SELECT * FROM admin WHERE NomeAdmin = '%s' AND SenhaAdmin = '%s'",mysql_escape_string($MtLogin),mysql_escape_string(md5(strrev($MtSenha)))));

$conta = mysql_num_rows($sql);

if($conta == 0):

$erro = "Login ou senha inválidos";

else:

// aqui você gera a sessão e libera o acesso ao sistema

endif;

[D@rk]

Caro amigo, desculpe.

Mas eu sou meio leigo em PHP, como é que eu vou implementar essa linha ai?

Abs.

[MTavares]

Tudo bem... tem como você postar a query ou função que faz a autenticação do usuário?

[D@rk]

Opa, tá na mão chefe!

<?php
/***************************************************************************
 *                                adm_noticias.php
 *                            -------------------
 *   início               : Domingo, 14 de março de 2004
 *   copyright            : (C) 2003 - 2004 Fernando Pontes
 *   email                : odnanrefsetnop@bol.com.br
 *
 *   $Id: adm_noticias.php,v 2.0 14/03/2004 10:03:47
 *
 *
 ***************************************************************************/
session_start();
require("../conexao.inc.php"); //alterar de acordo com seu diretorio
require("../funcao.php");

$corpo = false;

if (!isset($_SESSION['user_login'])) { //realiza a identificacao com o banco de dados

   if (isset($_POST['user_login']) and ($_POST['user_login'] != "") and isset($_POST['user_pass']) and ($_POST['user_pass'] != "")) {
    if (isset($host) and isset($db_super_news) and isset($user) and isset($pass)) {
    $conexao = mysql_connect($host, $user, $pass) or die("Impossível conectar-se ao mysql...<br>");

    mysql_select_db($db_super_news) or die("Impossível conectar-se com o banco de dados: " . $db_super_news . '<br>');
    
    $userLogin = formatDados($_POST['user_login']);
    $userPass = formatDados($_POST['user_pass']);
    
    $resultado = mysql_query("SELECT user,pass,status FROM {$prefixdb}login WHERE user='$userLogin'");
    if(!$resultado){
    die("Impossível realizar a consulta!" . mysql_error());
    }

    $line = mysql_fetch_array($resultado);

    if (strtolower($line[0]) == strtolower($userLogin)) {
        if ($line[1] == $userPass) {
            $corpo = true;
            $estatos = $line[2];
            $user_login = $userLogin;
            $user_pass = $userPass;
            
            $_SESSION['estatos'] = $estatos;
            $_SESSION['user_login'] = $user_login;
            $_SESSION['user_pass'] = $user_pass;
            $data = date("Y-m-d H:i:s");
            $resultado1 = mysql_query("UPDATE {$prefixdb}login SET ip='{$_SERVER['REMOTE_ADDR']}', data='$data' WHERE user='{$_POST['user_login']}'");
            if(!$resultado1){
            die("Impossível realizar a consulta!" . mysql_error());
            }
        }else{
            print("<center><font size='2' face='Verdana, Arial, Helvetica, sans-serif' color='#FF0000'><b>Password Incorreto!</b></font></center>");
        }
    }else{
        print("<center><font size='2' face='Verdana, Arial, Helvetica, sans-serif' color='#FF0000'><b>Login Incorreto!</b></font></center>");
    }
}
}
}else{
    $corpo = true;
}
if (!$corpo) {  //campo para login e password

?>
<html>

<head>
<title>Teopb - Login</title>
</head>

<body onload='document.formlogin.user_login.focus();'>
<br><br><br>
  <center>
  <table border="1" cellpadding="2" width="463" cellspacing="0" bgcolor="#eeeeee" bordercolor="#003300">
    <tr bordercolor="#003300">
      <td>
        <div align="center">
          <table border="0" cellpadding="0" cellspacing="0" width="460">
            <tr>
            <td height="20"></td>
            </tr>
            <tr>
              <td width="456">
                <p align="center"><b><img border="0" src="imagens/micro.gif" align="middle" width="32" height="32">&nbsp;
                <font face="Verdana, Arial, Helvetica, sans-serif" size="3" color="#009900">PAINEL ADMINISTRATIVO</font></b></p>
              </td>
            </tr>
            <tr>
              <td width="458" height="20"></td>
            </tr>
            <tr>
              <td width="458"><p align="center"><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#009900"><b>DIGITE SEU LOGIN E PASSWORD</b></font></center></td>
            </tr>
            <tr>
              <td width="458" height="20"></td>
            </tr>
            <tr>
              <td width="458">
              <center>
                 <form name="formlogin" method="post" action="<?php print($_SERVER['PHP_SELF']); ?>">
                 <table border="0" cellpadding="0" width="400">
                  <tr>
                    <td width="156">
                      <p align="right"><font face="Verdana, Arial, Helvetica, sans-serif" size="1"><b>Login:</b></font></p>
                    </td>
                    <td width="234"><input type="text" name="user_login"></td>
                  </tr>
                  <tr>
                    <td width="156">
                      <p align="right"><font face="Verdana, Arial, Helvetica, sans-serif" size="1"><b>Password:</b></font></p>
                    </td>
                    <td width="234"><input type="password" name="user_pass"></td>
                  </tr>
                  <tr>
                    <td colspan="2" width="394" height="20"></td>
                  </tr>
                  <tr>
                    <td colspan="2" width="394"><center><input type="submit" name="Submit" value="Entrar"> | <input type="reset" value="Limpar"></center></td>
                  </tr>
                </table>
                </form>
                </center>
             </td>
            </tr>
          </table>
        </div>
      </td>
    </tr>
  </table>

</body>

</html>
<?php

}

if ($corpo) {
          if (isset($_GET['acao']) and ($_GET['acao'] == "logout")) {
          session_destroy();
          print("<p align='center'><table width='300' border='0'>");
          print("<tr><td width='50%'><p align='center'><font face='Trebuchet MS' size='2'>Você está fora da administração Teopb!<br><a href='adm_noticias.php'>[Click aqui para entrar!]</a></font></td></tr></table>");
          die;
          }


?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Admin SuperNews v. <?php print($config['versao']); ?></title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<LINK href="adminsupernews.css" type="text/css" rel="stylesheet">

<link rel="stylesheet" href="style_editor.css" type="text/css">
&lt;script language="JavaScript" src="script_editorhtml.js"></script>
&lt;script language="JavaScript" src="WebUIValidation.js"></script>

&lt;script language="JavaScript">
function visualiza()
  {
  ChildWindow = window.open('visualizador.html', "VisualizadorPopUp", "width=600,height=600,top=200,left=200,toolbars=no,scrollbars=no,status=no,resizable=yes");
  }

//Script para confirmação de exclusão
function deleta(){
if(confirm("Tem certeza que deseja excluir esta notícia do banco de dados?")){
return true;
} else {
return false;
}
}
</script>

&lt;script language="JavaScript">
//redirecionamento de páginas
redirTime = "3000"; //Tempo
redirURL = "adm_noticias.php";  //url
function redirTimer(){
self.setTimeout("self.location.href = redirURL;",redirTime);}

//script que verifica se as dimensoes do formulario são numeros
function numeros(dimensao){
if(isNaN(dimensao)){
alert("Este campo pode conter só números!")
}
}

//script para abrir popup
function OpenWindow(FileNameToOpen,largura,altura)
{
newWindow = window.open(FileNameToOpen,'newwin', 'width='+largura+', height='+altura+', toolbar=no, scrollbars=yes, location=no, left=100, top=100')
if (newWindow.open)
{
newWindow.focus()
}
}
</script>
</head>

<body leftmargin="0" topmargin="0" <?php if(isset($_POST['envia']) || isset($_GET['deleta'])){ print('onLoad="redirTimer()"'); } ?>>
<a name="top"></a>
<table width="100%" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td height="70" bgcolor="#000000"><font color="#FFFFFF" size="3" face="Verdana, Arial, Helvetica, sans-serif">&nbsp;<em>Administra&ccedil;&atilde;o</em></font>
      <font face="Verdana, Arial, Helvetica, sans-serif" color="#FFFFFF" size="5"><font size="6">Super<em><font color="#FF6600">News</font></em> <?php print($config['versao']); ?></font></font></td>
  </tr>
  <tr>
    <td height="15" bgcolor="#FF9900"><div align="right"><font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="1"><?php include("../dataport.php"); ?>&nbsp;</font></div></td>
  </tr>
  <tr>
    <td valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0">
        <tr>
          <td width="20%" height="300" valign="top" bgcolor="#F2F2F2"><table width="97%" border="0" align="center" cellpadding="0" cellspacing="0">
              <tr>
                <td height="20">&nbsp;</td>
              </tr>
              <tr>
                <td height="15"><a class="menu" href="../index.php" target="_self">Home</a></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td height="15"><a class="menu" href="../leiame.html" target="_blank">SuperNews</a></font></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td height="15"><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000">Admin SuperNews</font></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td height="15"><a class="menu" href="mailto:odnanrefsetnop@bol.com.br" target="_self">Contatos</a></td>
              </tr>
              <tr>
                <td height="15"><hr align="left" width="90%" color="#999999"></td>
              </tr>
            </table></td>
          <td width="60%" valign="top"><table width="95%" border="0" align="center" cellpadding="0" cellspacing="0">
              <tr>
              <td height="5"></td>
              </tr>
              <tr>
                <td>
<!--Tabela de menus superiores para controle - inicio-->
<table border="0" width="100%" cellpadding="0" cellspacing="1">
  <tr>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=add_news"><img src="imagens/add_news.gif" width="100" height="15" alt="Adicionar Notícia" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=add_cat"><img src="imagens/add_cat.gif" width="100" height="15" alt="Adicionar Categoria" border=0></a></td>
    <td width="25%"><a href="../index.php"><img src="imagens/painel_news.gif" width="100" height="15" alt="Painel de Notícias" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=altuser"><img src="imagens/control_users.gif" width="120" height="15" alt="Controle de Usuário" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=comentario"><img src="imagens/comentarios.gif" width="120" height="15" alt="Comentários" border=0></a></td>
    <td width="25%"><a href="<?php print($_SERVER['PHP_SELF']); ?>?acao=logout"><img src="imagens/logout.gif" width="100" height="15" alt="Sair da Administração" border=0></a></td>
  </tr>
</table>
<!--Tabela de menus superiores para controle - fim-->
</td>
              </tr>
              <tr>
              <td height="10"></td>
              </tr>
              <tr>
                <td>
<?php
conexao_mysql($host,$user,$pass,$db_super_news);//funcao para conexao com o MYSQL

if(!isset($_GET['acao'])) {
?>
<font face="Verdana,Arial,Helvetica,sans-serif" size="1" color="#000000">

<div align="center"><center><table border="0" cellpadding="0" cellspacing="1" width="100%">
<tr><td><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Painel de Administra&ccedil;&atilde;o</b><br>Ol&aacute; <b><?php print($_SESSION['user_login']); ?></b>, Seja bem-vindo(a)</font></td></tr>
<tr>
<td><hr color="#CCCCCC"></td>
</tr>
<tr><td>
<?php
//Se a notícia for deletada
if(isset($_GET['deleta'])){
if(isset($_GET['unlink'])){ //alem de apagar o registro da news no banco de dados, apaga tambem a imagem no diretorio em que ele e armazenada
if(!unlink($_GET['unlink'])){
print("Error!! O arquivo não pode ser deletado do seu diretório devido a não ter permissões.");
}
}
$id = formatDados($_GET['deleta']);
$sql = "DELETE FROM {$prefixdb}noticias WHERE ID=$id";
if(@mysql_query($sql)){
print("<font color=\"#FF0000\" size=\"1\">A not&iacute;cia foi excluida com sucesso!</font><br>");
} else {
print("<font color=\"#FF0000\" size=\"1\">Erro ao excluir a no&iacute;cia " . mysql_error() . '</font><br>');
}
}
?>
</td></tr>
<tr><td><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000">As not&iacute;cias armazenadas no banco de dados <b><? print($db_super_news); ?></b> s&atilde;o:</font></td></tr><tr><td height="15"></td></tr>
<?php
//Faz a consulta no banco de dados
$resultado = mysql_query("SELECT * FROM {$prefixdb}noticias ORDER BY data DESC");
if(!$resultado){
die("Erro ao fazer a consulta no banco de dados: " . mysql_error() . '<br>');
}

//Verifica se há alguma noticia amazenada no banco de dados
if(mysql_num_rows($resultado) == 0){
print("<tr><td align=\"center\"><font color=\"#FF0000\" size=\"1\">Aten&ccedil;&atilde;o! N&atilde;o h&aacute; notícias no banco de dados <b>" . $db_super_news . '</b></font><br></td></tr>');
} else {
//script para paginacao
$num = mysql_num_rows($resultado);

// total de registros por página...
// você pode fixar ou deixar que o usuário escolha este valor...
$total_reg = $config['paginacao'];

// 10 registros ou menos...
if ($num <= $total_reg) {
    $total_paginas = 1;
}

// mais de 10 registros com valor múltiplo de 10...
if ($num%$total_reg == 0) {
    $total_paginas = $num / $total_reg;
}
// mais de 10 registros porém o valor não é múltiplo de 10...
else {
    // como a divisão não é exata, teremos que subtrair a parte que não é inteira e
    // acrescentar 1 página.
    $total_paginas = ($num/$total_reg) - (($num%$total_reg)/$total_reg) + 1;
}

if(!isset($_GET['paginacao'])){
    $paginacao = 1;
} else {
    $paginacao = $_GET['paginacao'];
}

// sabemos que o resultado da consulta é um array multidimensional, onde cada linha
// representa um registro...
// se o usuário está na página 2, devemos exiber as linhas numeradas de 19(inicial) à
// 28(final)...
// lembre-se que as pagina são numeradas iniciando em 1, mas o array de resultados inicia
// em 0(zero)...

$linha_inicial = ($paginacao - 1) * $total_reg;
$linha_final = $linha_inicial + $total_reg - 1;

// escrevendo os registros...
// vamos usar um marcador para sabermos se estamos entre a linha final e a linha inicial...
$marcador = 0;
    
//Este loop mostra todas as notícias inseridas no banco de dados
while($row = mysql_fetch_array($resultado)){

// se o marcador está dentro do intervalo desejado, escrevemos o registro...
if ($marcador >= $linha_inicial and $marcador <= $linha_final) {
    
$id = $row['ID'];
$idcategoria = $row['idcategoria'];
$diretorio = $row['diretorio'];
$titulo = $row['titulo'];
$data = $row['data'];
?><!--corpo principal de noticias-->
<tr><td><font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000">
<p><b><?php print(MostrarCat($idcategoria)); ?></b><br>
<b><?php print(formatData($data)); ?></b><br><a class="titulo" href="?acao=noticia&noticia=<?php print($id); ?>">
<?php print($titulo); ?></a><br>
<?php if($diretorio == NULL){ ?>
<a class="delete" href="<?php print($_SERVER['PHP_SELF']); ?>?deleta=<?php print($id); ?>" Onclick="return deleta();">Deletar</a>
<?php } else { ?>
<a class="delete" href="<?php print($_SERVER['PHP_SELF']); ?>?deleta=<?php print($id); ?>&unlink=<?php print($diretorio); ?>" Onclick="return deleta();">Deletar</a>
<?php } ?>|
<a class="editar" href="<?php print($_SERVER['PHP_SELF']); ?>?acao=editar&editar=<?php print($id); ?>" target="_self">Editar</a></p>
</font></td></tr><tr><td height="15"></td></tr>
<?php
}
//incrementamos o marcador...
$marcador = $marcador + 1;

}
if($total_paginas != 1){
print('<tr><td><div align="right">');
// se estivermos na primeira página, o link "anterior" não precisa linkar nada...
if ($paginacao == 1) {
    print("");
}
// do contrário, linka a página anterior...
else {
    print('<a class="titulo" href="?paginacao='.($paginacao - 1).'" targe="_self">&laquo; anterior</a> |');
}

// gerando os números com os respectivos links...
$i = 1;
while ($i <= $total_paginas) {
    // a página atual não precisa ser linkada...
    if ($i == $paginacao) {
        print(" <b>[$i]</b> ");
    }
    // as demais páginas deve ser linkadas...
    else {
        print(' <a class="titulo" href="?paginacao='.$i.'" target="_self">'.$i.'</a> ');
    }
    $i = $i + 1;
}

// se estivermos na última página, o link "próximo" não precisa linkar nada...
if ($paginacao == $total_paginas) {
    print("");
}
// do contrário, linka a próxima página...
else {
    print('| <a class="titulo" href="?paginacao='.($paginacao + 1).'" targe="_self">próxima &raquo;</a>');
}

print("</div></td></tr>");
}else{
   print("");
}
}
?>
<tr><td><hr color="#CCCCCC"></td></tr>
<tr><td height="15"><p align="right"><a class="noticia" href="#top" target="_self">Topo</a> | <font size="1" face="Verdana, Arial, Helvetica, sans-serif">Total de not&iacute;cias: <b><?php print(mysql_num_rows($resultado)); ?></b></font></p></td></tr>
</table></center></div>
</font>
<?php
} elseif(isset($_GET['acao']) and ($_GET['acao'] == "noticia")) {
$id = formatDados($_GET['noticia']);
$resultado = mysql_query("SELECT * FROM {$prefixdb}noticias WHERE ID=$id");
if(!$resultado){
die("Impossível visualizar esta notícia: " . mysql_error() . '<br>');
}

//Realiza um loop atrás das informações inseridas na tabela supernews
while($row = mysql_fetch_array($resultado)){
$diretorio = $row['diretorio'];
$largura = $row['largura'];
$altura = $row['altura'];
$titulo = $row['titulo'];
$conteudo = $row['conteudo'];
$data = $row['data'];
?>
<table width="100%" align="center" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="2"><b><?php print($titulo); ?></b></font><br>
      <hr color="#000000"> </td>
  </tr>
  <tr>
    <td><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="1"><b><?php print(formatData($data)); ?></b></font><br>
      <hr color="#CCCCCC">
    </td>
  </tr>
  <tr>
    <td>
      <?php if($diretorio == ""){ //se o diretorio for igual a vazia isso significa que é uma noticia sem imagem e mostra so a noticia
      ?>
      <p align="left"><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="2"><?php print(nl2br($conteudo)); ?></font></p>
      <?php } else { //caso contrario mostra a noticia com a imagem
      ?>
      <img src="<?php print($config_galeria['urlgaleria'].$diretorio); ?>" width="<?php print($largura); ?>" height="<?php print($altura); ?>" align="left" border="1"><font face="Verdana, Arial, Helvetica, sans-serif" color="#0000000" size="2"><?php print(nl2br($conteudo)); ?></font></p>
      <?php } ?>
    </td>
  </tr>
  <tr>
    <td><hr color="#CCCCCC"></td>
  </tr>
  <tr>
    <td><div align="center"><a class="links" href="java script:self.print()" onMouseOver="window.status='Imprimir'; return true">Imprimir</a>
        | <a class="links" href="adm_noticias.php" target="_self">Painel de Administração</a></div></td>
  </tr>
  <tr>
    <td><hr color="#000000"></td>
  </tr>
  <tr>
      <td>
    <?php
        $query = mysql_query("SELECT * FROM {$prefixdb}comentario WHERE status=1 AND idnoticia=$id ORDER BY data DESC");
        
        if(mysql_num_rows($query) > 0) {
            while($row = mysql_fetch_array($query)) {
                
                $idcoment = $row['ID'];
                $idnoticia = $row['idnoticia'];
                $nome = $row['nome'];
                $email = $row['email'];
                $comentario = $row['comentario'];
                $data = $row['data'];

                print('<table width="95%" border="0" cellspacing="2" cellpadding="2" align="center">
                  <tr>
                    <td bgcolor="#CCCCCC"><font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="1"><b>Nome:</b> '.$nome.'-<a class="titulo" href="mailto:'.$email.'">'.$email.'</a>&nbsp;&nbsp;&nbsp;&nbsp;Data:'.formatData($data).'</font></td>
                  </tr>
                  <tr>
                    <td bgcolor="#EEEEEE">
                    <font face="Verdana, Arial, Helvetica, sans-serif" color="#000000" size="1"><b>Comentário:</b><br />
                    '.$comentario.'</font></td>
                  </tr>
                </table>');
            }
        }
    ?>          
      </td>
  </tr>  
</table>
<?php
}
?>

<br>
<font size="1" face="Verdana, Arial, Helvetica, sans-serif">+ Not&iacute;cias...</font><br>
<hr width="100%" color="#CCCCCC">
<?php
//aproveita a conexao aberta para mostra as noticias diferentes da que a pessoa está lendo
$resultado1 = mysql_query("SELECT * FROM {$prefixdb}noticias WHERE ID<>$id ORDER BY data DESC LIMIT 0, {$config['maisnews']}");
if(!$resultado1){
die("Impossível visualizar esta notícia: " . mysql_error() . '<br>');
}
if(mysql_num_rows($resultado1) == 0){
?>
<font face="Verdana, Arial, Helvetica, sans-serif" color="#FF0000" size="1">Adicione mais notícias.</font><br>
<?php
} else {
//Realiza um loop atrás das noticias inseridas na tabela supernews
while($row = mysql_fetch_array($resultado1)){
$id = $row['ID'];
$titulo = $row['titulo'];
print('<font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000"><a class="titulo" href="?acao=noticia&noticia=' . $id . '&titulo=' . $titulo . '">&raquo; ' . htmlentities($titulo) . '</a></font><br>');
}
}

} elseif(isset($_GET['acao']) and ($_GET['acao'] == "add_news")) { //adiciona as noticias

    include("adicionar.php");
    
} elseif(isset($_GET['acao']) and ($_GET['acao'] == "add_cat")) { //edita a noticia especificada

    include("adicionarcat.php");    

} elseif(isset($_GET['acao']) and ($_GET['acao'] == "editar")) { //edita a noticia especificada

    include("editar.php");
    
} elseif(isset($_GET['acao']) and ($_GET['acao'] == "comentario")) { //edita a noticia especificada

    include("comentario.php");    
    
}elseif(isset($_GET['acao']) and ($_GET['acao'] == "altuser")) { //edita, adiciona e exclue o usuario
?>
<div align="center"><a class="noticia" href="adm_noticias.php" target="_self">Painel de Administra&ccedil;&atilde;o</a></div><br>
<font face="Verdana, Arial, Helvetica, sans-serif" size="1" color="#000000"><b>Controle de Usuário:</b></font>
<hr color="#CCCCCC">
                  <strong><font size="1" face="Verdana, Arial, Helvetica, sans-serif">Máximo
                  de 8 caracteres no campo password</font></strong><br>
                  <br>
<center>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
          <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Alterar usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <form action="<?php print($_SERVER['PHP_SELF']); ?>" method="post"><!--Formulario para alterar user, inicio-->
            <table border="0" cellpadding="3" cellspacing="0" width="100%">
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Login:&nbsp;</b></font></td>
                <td width="65%"><input type="text" name="alterlogin" value="<?php print($_SESSION['user_login']); ?>" size="25"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Password:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="alterpass" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Confirmar:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="alterpass1" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%">
                <?php
                $resultado = mysql_query("SELECT ID FROM {$prefixdb}login WHERE user='{$_SESSION['user_login']}'");
                if(!$resultado){
                print("Não foi possível realizar a consulta " . mysql_error());
                }
                while($row = mysql_fetch_array($resultado)){
                $id = $row['ID'];
                }
                ?>
                <input type="hidden" name="alterarid" value="<?php print($id); ?>"></td>
                <input type="hidden" name="acao" value="altruser">
                <td width="65%"><div align="right"><input type="submit" name="enviar" value="Alterar"></div></td>
              </tr>
             </table>
            </form><!--Formulario para alterar user, fim-->
          </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<br>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
          <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Adicionar usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <form action="<?php print($_SERVER['PHP_SELF']); ?>" method="post"><!--Formulario para adicionar user, inicio-->
            <table border="0" cellpadding="3" cellspacing="0" width="100%">
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Login:&nbsp;</b></font></td>
                <td width="65%"><input type="text" name="newlogin" size="25"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Password:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="newpass" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>Confirmar:&nbsp;</b></font></td>
                <td width="65%"><input type="password" name="newpass1" size="25" maxlength="8"></td>
              </tr>
              <tr>
                <td width="35%"><input type="hidden" name="acao" value="adicionaruser"></td>
                <td width="65%"><div align="right"><input type="submit" name="enviar" value="Adicionar"></div></td>
              </tr>
             </table>
            </form><!--Formulario para adicionar user, fim-->
          </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<br>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
          <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Excluir
            usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <form action="<?php print($_SERVER['PHP_SELF']); ?>" method="post"><!--Formulario para excluir user, inicio-->
              <table border="0" cellpadding="3" cellspacing="0" width="100%">
                <tr>
                  <td colspan="2">
                  <?php
                  // ## exibe a lista de todos os usuarios cadastrado ## //
                  $consulta = mysql_query("SELECT * FROM {$prefixdb}login");
                  if(!$consulta){
                  print("Error! Impossível realizar a consulta." . mysql_error());
                  }
                  while($row = mysql_fetch_array($consulta)){
                  $id = $row['ID'];
                  $user = $row['user'];

                  print("<input type='radio' name='del' value='$id'><font size='1' face='Verdana, Arial, Helvetica, sans-serif'> $user</font><br>\n");
                  }
                  ?>
                  </td>
                </tr>
                <tr>
                  <td width="65%"><input type="hidden" name="acao" value="deletaruser"></td>
                  <td width="65%"><div align="right">
                      <input type="submit" name="enviar" value="Excluir">
                    </div></td>
                </tr>
              </table>
            </form><!--Formulario para excluir user, fim-->
          </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<br>
<?php
if($_SESSION['estatos'] == 1){
?>
<table border="0" cellpadding="0" cellspacing="0" width="300">
  <tr>
    <td bgcolor="#000000">
      <table border="0" cellpadding="0" cellspacing="1" width="100%">
        <tr>
        <td width="100%" height="20" bgcolor="#CCCCCC"><font size="1" face="Verdana, Arial, Helvetica, sans-serif"><b>&nbsp;Status
         do usuário:</b></font></td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#FFFFFF">
          <table border="0" cellpadding="3" cellspacing="0" width="100%">
                                    <tr>
                                      <td colspan="2">
                                        <?php
                  // ## exibe a lista de todos os usuarios cadastrado ## //
                  $consulta = mysql_query("SELECT * FROM {$prefixdb}login");
                  if(!$consulta){
                  print("Error! Impossível realizar a consulta." . mysql_error());
                  }
                  while($row = mysql_fetch_array($consulta)){
                  $id = $row['ID'];
                  $user = $row['user'];
                  $status = $row['status'];

                  print('<form action="' . $_SERVER['PHP_SELF'] . '?acao=alteruser" method="post">');
                  print('<input type="text" name="status" value="' . $status . '" size="2" maxlength="1"><font size="1" face="Verdana, Arial, Helvetica, sans-serif">' . $user . '-->');
                  if($status == 1){
                  print("<b>Administrador</b>");
                  }else{
                  print("<b>Usuário</b>");
                  }
                  print("</font><input type=\"hidden\" name=\"id\" value=\"$id\"><input type=\"hidden\" name=\"acao\" value=\"alterstatus\"><br><input type=\"submit\" name=\"enviar\" value=\"Alterar\"></form><br>\n");
                  }
                  ?>
                                      </td>
                                    </tr>
                                    <tr>
                                      <td colspan="2"><font size="2" face="Arial, Helvetica, sans-serif"><strong>1
                                        </strong>para administrador<strong><br>
                                        0 </strong>para usu&aacute;rio</font></td>
                                    </tr>
                                    <tr>
                                      <td width="65%"></td>
                                      <td width="65%"></td>
                                    </tr>
                                  </table>
            </td>
        </tr>
        <tr>
          <td width="100%" bgcolor="#CCCCCC" height="5"></td>
        </tr>
      </table>
    </td>
  </tr>
</table>
<?php
}
?>
<hr color="#CCCCCC">
<br>
<div align="center"><a class="noticia" href="#top">Topo</a> | <a class="noticia" href="adm_noticias.php" target="_self">Painel de Administra&ccedil;&atilde;o</a></div>
</center>
<?php
}

if(isset($_POST['acao'])) { //script responsavel pela alterações de login e password
    
    if($_POST['acao'] == "altruser") {
       if(isset($_POST['alterlogin']) and ($_POST['alterlogin'] != "") and isset($_POST['alterpass']) and ($_POST['alterpass'] != "") and isset($_POST['alterpass1']) and ($_POST['alterpass1'] != "")){
       
       $alterarId = formatDados($_POST['alterarid']);
       
       $resultado2 = mysql_query("SELECT user FROM supernews_login WHERE ID=$alterarId");
       
       if(!$resultado2){
       print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
       }

       $row = mysql_fetch_array($resultado2);
       $usuario = $row['user'];

       if(strtolower($_POST['alterlogin']) == strtolower($usuario)) {
            if($_POST['alterpass'] == $_POST['alterpass1']){

               $alterLogin =  formatDados($_POST['alterlogin']);
               $alterPass = formatDados($_POST['alterpass']);               
            
               $resultado = mysql_query("UPDATE {$prefixdb}login SET user = '$alterLogin', pass = '$alterPass' WHERE ID=$alterarId");
               
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Usuário alterado com sucesso. <br> As alterações teram efeito na próxima altenticação.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
            }else{
            print("<br><br><center><pre><b>Error!! Os campos de senhas devem ser iguais.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
       } elseif(strtolower($_POST['alterlogin']) != strtolower($usuario)) {
           
       $alterLogin =  formatDados($_POST['alterlogin']);
       $alterPass = formatDados($_POST['alterpass']);
               
       $resultado2 = mysql_query("SELECT user FROM {$prefixdb}login WHERE user='$alterLogin'");
       if(!$resultado2){
       print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
       }
       $row = mysql_fetch_array($resultado2);
       $usuario = $row['user'];

            if(strtolower($alterLogin) != strtolower($usuario)){
            if($alterPass == $_POST['alterpass1']){
               $resultado = mysql_query("UPDATE {$prefixdb}login SET user = '$alterLogin', pass = '$alterPass' WHERE ID=$alterarId");
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Usuário alterado com sucesso. <br> As alterações teram efeito na próxima altenticação.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
            }else{
            print("<br><br><center><pre><b>Error!! Os campos de senhas devem ser iguais.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
            }else{
            print("<br><br><center><pre><b>Usuário já exitente, mude de login.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
       }
       }else{
       print("<br><br><center><pre><b>Error!! Todos os campos são obrigatórios.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
       }
    }
    elseif($_POST['acao'] == "adicionaruser") { //script responsavel pelo cadastro de login e password
     if($_SESSION['estatos'] == 1){
       if(isset($_POST['newlogin']) and ($_POST['newlogin'] != "") and isset($_POST['newpass']) and ($_POST['newpass'] != "") and isset($_POST['newpass1']) and ($_POST['newpass1'] != "")){
           
               $newlogin = formatDados($_POST['newlogin']);        
               $newpass = formatDados($_POST['newpass']);
               
            $resultado1 = mysql_query("SELECT user FROM {$prefixdb}login WHERE user='$newlogin'");
            
            if(!$resultado1){
            print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
            }
            $row = mysql_fetch_array($resultado1);
            $usuario = $row['user'];
            //Realiza primeiro a consulta acima para verifica se o login a ser cadastrado já existe, caso negativo ele realiza o cadastramento, mas se o login existe ele não cadastra
            if(strtolower($newlogin) != strtolower($_SESSION['user_login'])){
            if($newpass == $_POST['newpass1']){
               $resultado = mysql_query("INSERT INTO {$prefixdb}login SET user = '$newlogin', pass = '$newpass', status=0");
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Usuário adicionado com sucesso.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
            }else{
            print("<br><br><center><pre><b>Error!! Os campos de senhas devem ser iguais.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
            }
            else{
            print("<br><br><center><pre><b>Usuário já exitente, mude de login.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
            }
       }else{
       print("<br><br><center><pre><b>Error!! Todos os campos são obrigatórios.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
       }
     }else{
     print("<br><br><center><pre><b>Você não tem autorização para adicionar este usuário. <br>Contate seu administrador.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
     }
    } elseif($_POST['acao'] == "deletaruser") {
        if(isset($_POST['del']) and ($_POST['del'] != "")){
           if($_SESSION['estatos'] == 1){
                
                   $del = formatDados($_POST['del']);
           
                  $resultado = mysql_query("DELETE FROM {$prefixdb}login WHERE ID=$del");
                if(!$resultado){
                print("Error! Impossível realizar a consulta." . mysql_error());
                }
                print("<br><br><center><pre><b>Usuário excluido com sucesso.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
                }else{
                print("<br><br><center><pre><b>Você não tem autorização para excluir este usuário. <br>Contate seu administrador.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
                }
        }else{
        print("<br><br><center><pre><b>Escolha um usuário para ser excluído.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
        }
    } elseif($_POST['acao'] == "alterstatus") {
           if(isset($_POST['status']) and ($_POST['status'] != "")){
                  
               $id = formatDados($_POST['id']);
               $status = formatDados($_POST['status']);
               
               $resultado = mysql_query("UPDATE {$prefixdb}login SET status = '$status' WHERE ID=$id");
               if(!$resultado){
               print("<br><br><center><pre><b>Error!! Não foi possível alterar usuário.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>" . mysql_error());
               }else{
               print("<br><br><center><pre><b>Status do Usuário alterado com sucesso. <br> As alterações teram efeito na próxima altenticação.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
               }
          }else{
          print("<br><br><center><pre><b>Error!! Este campo é obrigatório.</b></pre><br><a class='titulo' href='java script:history.go(-1)'>&laquo; &laquo; Voltar</a></center>");
          }
    }
}
?>
                </td>
              </tr>
              <tr>
                <td>&nbsp;</td>
              </tr>
            </table></td>
          <td width="20%" height="300" valign="top" bgcolor="#F2F2F2"><table width="100%" border="0" cellspacing="0" cellpadding="0">
              <tr>
                <td height="20">&nbsp;</td>
              </tr>
              <tr>
                <td><font size="2" face="Arial, Helvetica, sans-serif"><strong>&nbsp;Busca<font color="#FF6600"><em>News</em></font></strong></font></td>
              </tr>
              <tr>
                <td><hr align="left" width="90%" color="#999999"></td>
              </tr>
              <tr>
                <td><table width="95%" border="0" align="center" cellpadding="0" cellspacing="1">
                    <tr>
                      <td><form method="post" action="../busca.php"><!--busca da noticia-->
                    <font size="2" face="Verdana, Arial, Helvetica, sans-serif">Palavra: </font>
                    <input type="text" name="palavra">
                    <input type="hidden" name="buscar">
                    <input type="submit" value="Buscar">
                    </form></td>
                    </tr>
                  </table></td>
              </tr>
              <tr>
                <td>&nbsp;</td>
              </tr>
              <tr>
                <td>&nbsp;</td>
              </tr>
            </table></td><!--coluna direita-->
        </tr>
      </table></td>
  </tr>
  <tr>
    <td height="30" bgcolor="#F2F2F2"><div align="center"><font size="1" face="Verdana, Arial, Helvetica, sans-serif">&copy;
        2003 - 2007 : <a class="email" href="mailto:odnanrefsetnop@hotmail.com">SuperNews</a> : Todos os direitos reservados</font></div></td>
  </tr>
</table>
</body>
</html>
<?php
}
?>

Editado Outubro 25, 2011 por D@rk

[MTavares]

Oi Dark,

se não me engano é na variável $resultado. Coloque como está abaixo e tente novamente:

$resultado = mysql_query(sprintf("SELECT user,pass,status FROM {$prefixdb}login WHERE user='%s'",mysql_escape_string($userLogin)));

é aconselhável você também validar a senha, pois pelo que percebi, só está validando o usuário.

tente e veja se consegue acessar com sql injection.

abs

validando a senha tb ficaria assim:

$resultado = mysql_query(sprintf("SELECT user,pass,status FROM {$prefixdb}login WHERE user='%s' AND pass = '%s'",mysql_escape_string($userLogin),mysql_escape_string($userPass)));

[D@rk]

Bicho,

Normal. Continua entrando. Não sei se facilita, mas eu to usando esse sistema de notícias:

http://phpbrasil.com/script/vT0FaOCySSH/supernews

a versão 2.6.1

Continua passando. Eu estou usando uma solução "temporária".

Criei um usuário # e na senha eu coloco outra qualquer. Isso esta resolvendo temporariamente....

[MTavares]

Modifiquei, fiz um teste aqui e funfou... veja:

$resultado = mysql_query(sprintf("SELECT user,pass,status FROM {$prefixdb}login WHERE user='%s' and pass = '%s'", mysql_escape_string($userLogin), mysql_escape_string($userPass)));

$contar = mysql_num_rows($resultado);

if($contar == 0){

die("Impossível realizar a consulta!" . mysql_error());

}

abraços

veja essa linha:

$contar = mysql_num_rows($resultado);

Observe que se o resultado for igual a zero, ou seja, se não constar o login e senha no banco, ele não deixa acessar.

abraços

[D@rk]

Grande, perfeito!

Funcionou. Agora posso apagar o user que tinha criado pois o script ta reforçado. Muito obrigado!

Man, sem querer abusar da sua boa vontade, a minha dúvida inicial, o lance do nbsp, você tem ideia como eu poderia quebrar isso?

Mais uma vez obrigado.

Abração!!!

[MTavares]

Perfeito... quanto ao nbsp, tente colocar dessa forma:

strip_tags($textodanoticia, '& nbsp');

veja se funciona... o comando está separado, porque o fórum pode interpretar como comando HTML e não aparecer....

abs

[D@rk]

Perfeito... quanto ao nbsp, tente colocar dessa forma:

strip_tags($textodanoticia, '& nbsp');

veja se funciona... o comando está separado, porque o fórum pode interpretar como comando HTML e não aparecer....

abs

fera,

a linha ta assim: $data = strip_tags($data);

eu uso o $textodanoticia ou o $data???

abs.

[MTavares]

Essa variável $data é o conteúdo da notícias? se for, tente dessa forma:

$data = strip_tags($data, '& nbsp');

veja se funciona...

[D@rk]

Essa variável $data é o conteúdo da notícias? se for, tente dessa forma:

$data = strip_tags($data, '& nbsp');

veja se funciona...

é eu já tinha feito, sub entendi isso, pois essa variável textonoticia n existe....

Cara eu acho que funcionou sim, fiz os testes aqui e a princípio esta ok!

é q tinha casos em q eu copiava o texto ele dava prob, e outros não. Mas testei de uns 5 lugares diferentes tá ok.

Muito Obrigado MTavares, resolvido!

Abração,

[MTavares]

beleza D@rk,

qualquer coisa estamos aí...

abraços