[phpbb e database] Come eseguire query su phpbb

Buongiorno a tutti, mi chiamo Alessandro ed ho un problema con l'utilizzo di phpbb ed il suo database.

Lo scopo mio è poter eseguire delle query sul file overall_header.htm in modo tale che contattino il database ed estrapolino le informazioni.

Sono pratico di SQL ma provando con un semplice SELECT FROM sul sito riesco solo a leggere ciò che ho scritto o.O Insomma la pagina non capisce che quelle righe sono un comando SQL e non semplice testo.
Ho letto sul wiki di phpbb come funziona persino il Database Astraction Layer, ho provato ad inserire le stringhe da loro proposte ma non funzionano, su quel fatto sono quasi sicuro che quel code lo regge solo il php e non l'htm .

Mi sapreste dire come posso applicare in modo furbo una query e che funzioni? =)

Rimanendo in attesa di risposte,
porgo cordiali saluti a tutta la community

PS: Mai visto un forum così organizzato :D

Innanzitutto non potrai mai eseguire da un file html. Devi usare per forza php: http://php.net/manual/en/function.mysql-connect.php

[andreafallico]

Il codice php nel file overall_header.htm può essere eseguito solo se lo hai attivato nel PCA e lo racchiudi tra <!-- PHP --><!-- ENDPHP -->
per esemp.

Codice HTML:

<!-- PHP -->$str="Prova"; echo $str;<!-- ENDPHP -->

Il codice php nel file overall_header.htm può essere eseguito solo se lo hai attivato nel PCA e lo racchiudi tra <!-- PHP --><!-- ENDPHP -->
per esemp.

Codice HTML:

<!-- PHP -->$str="Prova"; echo $str;<!-- ENDPHP -->

In pratica devo integrare nell'html la possibilità di eseguire codice php?
Nello specifico dove posso trovare questo dettaglio da attivare nel PCA?

Grazie =)

[andreafallico]

Devi andare: PCA -> Generale -> Configurazione server -> Sicurezza -> Permetti php negli stili

[silvermaledetto]

è comunque una scelta che rimane pericolosa!

è comunque una scelta che rimane pericolosa!

Come mai? A quale genere di attaco rimarrei vulnerabile?

un ringraziamento speciale a andreafallico =)

Aggiornamenti: credo che persino phpbb capisca che le mie query sono pericolose o.O difatti mi blocca tutta la index.php indicandomi un errore fatale proprio su quella riga.

E se facessi una pagina php a parte e la linkassi sull'header di phpbb?
Come potrei in questo caso scrivere un php a parte e come potrei poi in seguito unirla alla pagina htm? insomma vorrei inglobarla.......

Una curiosità: questa pagina php con quale comando preciso riuscirebbe a connettersi al db x poi estrapolare la risposta alla mia query?

Ringrazio ancora :P

[silvermaledetto]

ai miei di sicuro
Fallo con prudenza, proprio se non trovi il modo di eseguirlo diversamente.
Magari dai un occhiata al file
Root/includes/constants.php

ai miei di sicuro
Fallo con prudenza, proprio se non trovi il modo di eseguirlo diversamente.
Magari dai un occhiata al file
Root/includes/constants.php

chiamalo intuito ma sarei vulnerabile ad un sql injection ;)


ps: ho modificato con news il mio post precedente

-

NEWS:

Ho creato una query (che oltretutto non mi funziona T_T)

e vorrei quindi far in modo che questo file venga visto sull'header di phpbb.

Mi illuminate pls sul codice da incorporare e se potete mi trovate l'errore?

ringrazio in anticipo

Codice PHP:

<?php
mysql_connect("localhost", "incursoristealth", "") or die(mysql_error());
mysql_select_db("my_incursoristealth") or die(mysql_error());

$result = mysql_query(" SELECT user_id
FROM `phpbb_user_group`
WHERE group_id=11")
or die(mysql_error());
$row = mysql_fetch_array( $result );


$result1 = mysql_query("SELECT username
FROM `phpbb_users`
WHERE user_id=$result

$row = mysql_fetch_array($result1);
while($row = mysql_fetch_array($result1)){
echo $row['result1'];
echo "<br />";
}
?>

[andreafallico]

Prova così:

Codice PHP:

<?php
mysql_connect("localhost", "incursoristealth", "") or die(mysql_error());
mysql_select_db("my_incursoristealth") or die(mysql_error());

$result = mysql_query("SELECT user_id FROM `phpbb_user_group` WHERE group_id=11") or die(mysql_error());
$row = mysql_fetch_array( $result );


$result1 = mysql_query("SELECT username FROM `phpbb_users` WHERE user_id='{$row['user_id']}'");

while($row = mysql_fetch_array($result1)){
echo $row['username'];
echo "<br />";
}
?>

Prova così:

Codice PHP:

<?php
mysql_connect("localhost", "incursoristealth", "") or die(mysql_error());
mysql_select_db("my_incursoristealth") or die(mysql_error());

$result = mysql_query("SELECT user_id FROM `phpbb_user_group` WHERE group_id=11") or die(mysql_error());
$row = mysql_fetch_array( $result );


$result1 = mysql_query("SELECT username FROM `phpbb_users` WHERE user_id='{$row['user_id']}'");

while($row = mysql_fetch_array($result1)){
echo $row['username'];
echo "<br />";
}
?>

Funziona! Ma a metà o.O dovrebbero essere 2 i risultati e mi viene printato solo uno =( Ho riletto il tuo code e non fa una grinza...... come fare? :S

PS: questa pagina di risultato poi come lo incorporo sull'header senza espormi a rischi?

[andreafallico]

Prova così:

Codice PHP:

<?php
mysql_connect("localhost", "incursoristealth", "") or die(mysql_error());
mysql_select_db("my_incursoristealth") or die(mysql_error());

$result = mysql_query("SELECT user_id FROM `phpbb_user_group` WHERE group_id = 11") or die(mysql_error());
$rows = mysql_fetch_assoc($result);
while($rows){
$record = mysql_query("SELECT username FROM `phpbb_users` WHERE user_id = {$rows['user_id']}");
$row = mysql_fetch_assoc($record);
if($row)
echo $row['username'];
$rows = mysql_fetch_assoc($result);
if($rows)
echo '<br />';
}
?>

Prova così:

Codice PHP:

<?php
mysql_connect("localhost", "incursoristealth", "") or die(mysql_error());
mysql_select_db("my_incursoristealth") or die(mysql_error());

$result = mysql_query("SELECT user_id FROM `phpbb_user_group` WHERE group_id = 11") or die(mysql_error());
$rows = mysql_fetch_assoc($result);
while($rows){
$record = mysql_query("SELECT username FROM `phpbb_users` WHERE user_id = {$rows['user_id']}");
$row = mysql_fetch_assoc($record);
if($row)
echo $row['username'];
$rows = mysql_fetch_assoc($result);
if($rows)
echo '<br />';
}
?>

Perfetto :D ti ringrazio.

Ora ho in pratica questo php e vorrei integrarlo nell'header del sito senza mettermi a rischio di black hat :P , come fare?

[silvermaledetto]

A parte che il rischio c'è sempre e comunque, io ti ho indicato il file dove vengono eseguite tutte le operazioni costanti col database della Board.
La procedura deontologicamene corretta d'inserimento, per me sarebbe quella d'integrare il php creato non nell'overall_header.html ma bensì nel file
index.php tramite un INCLUDE

Questo sempre nell'ottica di non abilitare il php nello stile, che poi puoi pure abilitarlo, ma almeno non pubblicizzarlo

A parte che il rischio c'è sempre e comunque, io ti ho indicato il file dove vengono eseguite tutte le operazioni costanti col database della Board.
La procedura deontologicamene corretta d'inserimento, per me sarebbe quella d'integrare il php creato non nell'overall_header.html ma bensì nel file
index.php tramite un INCLUDE

Questo sempre nell'ottica di non abilitare il php nello stile, che poi puoi pure abilitarlo, ma almeno non pubblicizzarlo

Mmm capito , ma ora mi chiedo:
-nel file constants.php dove devo mettere il codice e come? (l'ho letto ieri sera ed era troppo strano per i miei gusti quel file O_O)
-come posso poi includere tutto ciò nell'index.php in modo tale che rimanga nella zona dell'header?

Ringrazio in anticipo
Alessandro

[silvermaledetto]

Io ti dico cosa si potrebbe fare, non mi spingo oltre.
Questo era per evitare il php nello stile, che comunque è un opzione settabile, quindi un compromesso accettabile, altrimenti sarebbe precluso direttamente.

Ma ci sarebbero pure altri modi che mi sovvengono: tipo creare una pagina custom phpbb3 (php/html/language) e poi richiamarla questa si direttamente nell'overall_header.html.

Ma i miei vogliono solo essere degli spunti da cui poi dovrai lavorarci sopra.

Io ti dico cosa si potrebbe fare, non mi spingo oltre.
Questo era per evitare il php nello stile, che comunque è un opzione settabile, quindi un compromesso accettabile, altrimenti sarebbe precluso direttamente.

Ma ci sarebbero pure altri modi che mi sovvengono: tipo creare una pagina custom phpbb3 (php/html/language) e poi richiamarla questa si direttamente nell'overall_header.html.

Ma i miei vogliono solo essere degli spunti da cui poi dovrai lavorarci sopra.

In pratica qualcosa tipo la mod "tagboard"?

[silvermaledetto]

Io constato che quando abbisognano interventi del database, abilitare il php nello stile è sempre l'ultima soluzione adottata.
Ma puoi farlo sia inteso.
Nelle MOD di un certo tipo, vedo che utilizzano UMIL, o creano tabelle nel database poi richiamate ma nei file php della board.

La TagBoard non sfugge alla regola

In pratica faccio un file php, e con il comando include su index.php piazzo questa query, erro?

[silvermaledetto]

Questa è la prassi adottata dai migliori Moddatori, e per interventi sul database ti consiglio, come già scritto, di dare un'occhiata al progetto UMIL (Unified MOD Install Library)

La tua modifica potrebbe diventare una MOD a tutti gli effetti.

Questa è la prassi adottata dai migliori Moddatori, e per interventi sul database ti consiglio, come già scritto, di dare un'occhiata al progetto UMIL (Unified MOD Install Library)

La tua modifica potrebbe diventare una MOD a tutti gli effetti.

Intrigante!
Mi metto al lavoro allora =)
Grazie mille a tutti, siete delle guide viventi ^^