[TVProjects] Website Source Code

You are not registered.
Registration allows you to subscribe to projects, open projects, and more. Click here to register.
Website Source Code
<< Back

news.php

<?php
    function get_news()
    {
        global $categories;
        
        $news = '';
        $news_reuslt = mysql_query('SELECT `id`, `project`, `title`, `text`, `author`, `date` FROM `news` ORDER BY `date` DESC LIMIT 10;');
        while ($row = mysql_fetch_assoc($news_reuslt))
        {
            $icon_size = getimagesize('projects_images/' . $row['project'] . '.png');
            $size = get_image_size($icon_size[0], $icon_size[1], 88);
            $news_vars['WIDTH'] = $size[0];
            $news_vars['HEIGHT'] = $size[1];

            $result = mysql_query('SELECT `category`, `name` FROM `projects` WHERE `id` = ' . $row['project'] . ' LIMIT 1;');
            if (mysql_num_rows($result) == 0)
                die('Error! No rows returned in get_news().');
            $project_row = mysql_fetch_row($result);
        
            $news_vars['TITLE'] = filter_bad_words(escape_html($row['title']));
            $news_vars['PROJECT'] = escape_html(filter_bad_words($project_row[1]));
            
            $news_vars['PROJECT_LINK'] = create_link($project_row[0], $row['project'], filter_bad_words($project_row[1]));
            $news_vars['IMAGE'] = 'projects_images/' . $row['project'] . '.png';
            $news_vars['TEXT'] = nl2br(filter_bad_words(make_shorter(preg_replace('/<[a-zA-Z\/][^>]*>/', '', str_replace('<br />', "\n", $row['text'])), 500)));
            $author = get_user($row['author']);
            $news_vars['AUTHOR'] = escape_html(filter_bad_words($author[1]));
            $news_vars['AUTHOR_LINK'] = 'users/' . $row['author'] . '-' . format_title_address(filter_bad_words($author[1])) . '/';
            $news_vars['DATE'] = date('d/m/y H:i:s', $row['date']);
            $news_vars['LINK'] = create_link($project_row[0], $row['project'], filter_bad_words($project_row[1])) . 'news/' . $row['id'] . '-' . format_title_address(filter_bad_words($row['title'])) . '/';
            
            $news .= get_template('news', $news_vars);
        }
        
        $top = '<div style="font-size: 12px; font-family: Arial; background-color: #eeeeee; border: 1px solid #dddddd; padding: 5px"><div style="font-weight: bold">Welcome to TVProjects!</div>';
        $top .= 'Your one stop site for TrueVision3D related projects.<br />For more information about the site click <a href="./about/">here</a>.</div><br />';
        $top .= '<div style="font-size: 14px; font-family: Arial; font-weight: bold">Projects News:</div><br />';
        
        return $top . $news;
    }
    
    function make_shorter($text, $maximum)
    {
        return (strlen($text) > $maximum) ? (substr($text, 0, $maximum) . '...') : $text;
    }
    
    function format_title_address($title)
    {
        $formatted = preg_replace('/[^\s^\w]/', '', $title);
        
        if (strlen($formatted) > 50)
            $formatted = substr($formatted, 0, 50);
            
        return str_replace(' ', '_', $formatted);
    }
    
    function create_link($cat, $prj_id, $prj_name)
    {
        global $categories;
        return 'projects/' . $cat . '-' . format_title_address($categories[$cat]) . '/' . $prj_id . '-' . format_title_address($prj_name) . '/';
    }
    
    function escape_html($text)
    {
        return htmlentities($text);
    }
    
    function xss_safe($val)
    {
       // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
       // this prevents some character re-spacing such as <java\0script>
       // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
       $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val);
       
       // straight replacements, the user should never need these since they're normal characters
       // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
       $search = 'abcdefghijklmnopqrstuvwxyz';
       $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
       $search .= '1234567890!@#$%^&*()';
       $search .= '~`";:?+/={}[]-_|\'\\';
       for ($i = 0; $i < strlen($search); $i++) {
          // ;? matches the ;, which is optional
          // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
       
          // &#x0040 @ search for the hex values
          $val = preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
          // &#00064 @ 0{0,7} matches '0' zero to seven times
          $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
       }
       
       // now the only remaining whitespace attacks are \t, \n, and \r
       // $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
       $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', '<title', 'base');
       $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
       $ra = array_merge($ra1, $ra2);
       
       $found = true; // keep replacing as long as the previous round replaced something
       while ($found == true) {
          $val_before = $val;
          for ($i = 0; $i < sizeof($ra); $i++) {
             $pattern = '/';
             for ($j = 0; $j < strlen($ra[$i]); $j++) {
                if ($j > 0) {
                   $pattern .= '(';
                   $pattern .= '(&#[x|X]0{0,8}([9][a][b]);?)?';
                   $pattern .= '|(&#0{0,8}([9][10][13]);?)?';
                   $pattern .= ')?';
                }
                $pattern .= $ra[$i][$j];
             }
             $pattern .= '/i';
             $replacement = substr($ra[$i], 0, 2).'<span></span>'.substr($ra[$i], 2); // add in <> to nerf the tag
             $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
             if ($val_before == $val) {
                // no replacements were made, so exit the loop
                $found = false;
             }
          }
       }
       
       $val = str_replace('../', '', $val);
       
       return str_replace('<p>&nbsp;</p>', '', $val);
    }
?>