Пользователь имеет возможность работы с личными сообщениями

Просматривая страницы пользователей, он может написать им. Следует отметить, что предусмотрена фильтрация пользовательского ввода. Форма ввода нового сообщения показана на рисунке 11.

Рисунок 10 Форма ввода нового сообщения

11. Код отправки личного сообщения приведен ниже:

<?

session_start();

if (!isset($_SESSION['user_id']))

{

header('Location: /soc/index.php?page='.$_SERVER["PHP_SELF"]);

//die('Доступ закрыт, даём ссылку на авторизацию. — <a href="login.php">Авторизоваться</a>');

}

include '../mysql.php';

$tid = (int)$_POST['tid'];

$title = trim($_POST['title']);

$message = trim($_POST['message']);

//echo 'Message: '.$message.'<br />';

//echo 'AFTER mysql_real_escape_string: '.$message.'<br />';

$message = strip_tags($message, '&');

//echo 'NOW: '.$message.'<br />';

$title = strip_tags($title, '&');

$id = $_SESSION['user_id'];

$same_user = true;

$no_user = false;

include '../head.php';

include '../menu.php';

$error = false;

$ert = '';

if ($id == $tid)

{

$error = true;

$ert.= 'Вы не можете послать сообщение самому себе';

}

if (empty($message))

{

$error = true;

$ert.= 'Не введен текст сообщения';

}

if (empty($tid))

{

$error = true;

$ert.= 'Не заполнено поле получателя';

}

else

{

$q = "select login from users where id={$tid}";

$r = mysql_query($q);

if (mysql_num_rows($r) == 0)

{

$error = true;

$ert.= 'Пользователя с введенным Вами id не существует';

}

}

?>

<div id="rightCol">

<?

if (!$error)

{

// отсылка сообщения

$query = "INSERT INTO pm

VALUES

(

NULL,

{$id},

{$tid},

'".mysql_real_escape_string($title)."',

'".mysql_real_escape_string($message)."',

NOW(),

)";

echo $query;

$r = mysql_query($query);

echo '<div class="OKMessage">Сообщение успешно отослано</div>';

}

else {

echo '<div class="errMessage">Во время отправки произошли следующие ошибки:<br />'.nl2br($ert).'</div>';

}

?>

</div>

<div id="bottom"></div>

</div>

<?

include '../foot.php';

?>