Imprimir Página - PHP Comentario

Buenas a tod@s. Mirad, necesito un sistema de comentarios para mi website y la verdad que estoy liado. He puesto ya unos cuantos con sql y sin sql, pero me dan error.

Algúnos que he probado y no funcionan:
- www.infiniter.vacau.com/learning/comentarios/index.html (SIMPLE)
- www.infiniter.vacau.com/learning/comentarios/sql-comentarios/index.php (CON SQL)
- www.infiniter.vacau.com/learning/comentarios/php-comentarios/index.php (SIN SQL)

El que me atrae más es el primero, no solo porque funciona con errores sino porque es muy simple. La lastima es que me da un error al publicar, se muestran partes de código php. Os lo dejo:
enviar.PHP

Código

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-…
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento sin título</title>
</head>
 
<body>
<center>
<?
$fecha=date("j-n-Y h:i:s");
$nombre=$_POST[nombre];
$comentario=$_POST[comentario];
 
$fp=fopen("comentarios.txt","a");
$salida="<center><table width='485' border='1'>
<tr>
<th width='174' rowspan='2' scope='row'><div><font color='ff0000'>$fecha<font></div></th>
<td width='295' height='26'><div>
 
<div align='center'><font color='ff0000'><strong>$nombre</strong><…
</div></td>
</tr>
<tr>
<td height='23'><div>
<div align='center'><font color='ff0000'><strong>$comentario</stro…
</div></td>
</tr>
 
</table></center>";
fwrite($fp,$salida);
fclose($fp);
?>
<p><a href="comentarios.php">Gracias Por Comentar!!</a>
</p>
</center>
</body>
</html>

comentarios.HTML

Código

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-&#133;
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento sin título</title>
<style type="text/css">
<!--
.Estilo2 {
color: #FF0000;
font-weight: bold;
}
-->
</style>
</head>
 
<body>
<form id="form1" name="form1" method="post" action="enviar.php">
<div align="center">
<table width="200" border="1">
<tr>
 
<th colspan="2" scope="row"><span class="Estilo2">Comenta Este Post!!! </span></th>
</tr>
<tr>
<th scope="row"><span class="Estilo2">Nombre:</span></th>
<td><input name="nombre" type="text" id="nombre" size="38" /></td>
</tr>
<tr>
<th scope="row"><span class="Estilo2">Comentario:</span></th>
 
<td><textarea name="comentario" cols="35" rows="5" id="comentario"></textarea></td>
</tr>
<tr>
<th colspan="2" scope="row"><div>
<input type="submit" name="Submit" value="Enviar" />
</div></th>
</tr>
</table>
 
</div>
</form>
<p align="center">
<?
readfile ("comentarios.txt")
?>
</p>
</body>
</html>

Alguien podría decirme alguno simple que funcionara bien o que me arreglara el código del que os he pasado arriba. Es urgente :P

Gracias elhackeros.neteros

NO puedes meter un código PHP en un archivo con extensión .html a no ser que definas en apache que estos también pueden incluir php. Apache sabe cuando mandar a php el código y cuando no. Y by default no esta definido que los documentos .html lleven código php.

Aparte, usa siempre <?php pues muchos servidores no incluyen el like_ASP_tag que es el <?.

Y bueno... eres vulnerable a XSS persistente... para arreglarlo mas o menos cambia

Código

$nombre=$_POST[nombre];
$comentario=$_POST[comentario];

por

Código

$nombre=htmlentities($_POST['nombre'],ENT_QUOTES);
$comentario=htmlentities($_POST['comentario'],ENT_QUOTES);

Tienes otro error en el codigo y es que no pones ni ' ni " al definir $_POST[nombre] y $_POST[comentario]..

PD: Un repaso a un manual de PHP no te vendría mal.. son errores básicos que se aprenden en las primeras paginas de los manuales...

Saludos

Foro de elhacker.net

Programación => Desarrollo Web => Mensaje iniciado por: Puntoinfinito en 30 Agosto 2012, 13:51 pm