viewprofile.php

[PHP] pobierz, plaintext 
<?php
  // Uruchamianie sesji.
  require_once('startsession.php');
 
  // Wstawianie nagłówka strony.
  $page_title = 'Wyświetl profil';
  require_once('header.php');
 
  require_once('appvars.php');
  require_once('connectvars.php');
 
  // Przed przejściem do dalszych operacji należy się upewnić, że użytkownik jest zalogowany.
  if (!isset($_SESSION['user_id'])) {
    echo '<p class="login"><a href="login.php">Zaloguj się</a>, aby uzyskać dostęp do tej strony.</p>';
    exit();
  }
 
  // Wyświetlanie menu nawigacyjnego.
  require_once('navmenu.php');
 
  // Łączenie się z bazą danych.
  $dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); 
 
  // Pobieranie danych użytkownika z bazy.
  if (!isset($_GET['user_id'])) {
    $query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_SESSION['user_id'] . "'";
  }
  else {
    $query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_GET['user_id'] . "'";
  }
  $data = mysqli_query($dbc, $query);
 
  if (mysqli_num_rows($data) == 1) {     
    // Znaleziono wiersz z danymi użytkownika, dlatego należy je wyświetlić.
    $row = mysqli_fetch_array($data);
    echo '<table>';
    if (!empty($row['username'])) {
      echo '<tr><td class="label">Nazwa użytkownika:</td><td>' . $row['username'] . '</td></tr>';
    }
    if (!empty($row['first_name'])) {
      echo '<tr><td class="label">Imię:</td><td>' . $row['first_name'] . '</td></tr>';
    }
    if (!empty($row['last_name'])) {
      echo '<tr><td class="label">Nazwisko:</td><td>' . $row['last_name'] . '</td></tr>';
    }
    if (!empty($row['gender'])) {
      echo '<tr><td class="label">Płeć:</td><td>';
      if ($row['gender'] == 'M') {
        echo 'Mężczyzna';
      }
      else if ($row['gender'] == 'K') {
        echo 'Kobieta';
      }
      else {
        echo '?';
      }
      echo '</td></tr>';
    }
    if (!empty($row['birthdate'])) {
      if (!isset($_GET['user_id']) || ($_SESSION['user_id'] == $_GET['user_id'])) {
        // Wyświetlanie dnia urodzenia danemu użytkownikowi.
        echo '<tr><td class="label">Data urodzenia:</td><td>' . $row['birthdate'] . '</td></tr>';
      }
      else {
        // Wyświetlanie samego roku pozostałym użytkownikom.
        list($year, $month, $day) = explode('-', $row['birthdate']);
        echo '<tr><td class="label">Rok urodzenia:</td><td>' . $year . '</td></tr>';
      }
    }
    if (!empty($row['city']) || !empty($row['state'])) {
      echo '<tr><td class="label">Miejscowość:</td><td>' . $row['city'] . ', ' . $row['state'] . '</td></tr>';
    }
    if (!empty($row['picture'])) {
      echo '<tr><td class="label">Zdjęcie:</td><td><img src="' . MM_UPLOADPATH . $row['picture'] .
        '" alt="Zdjęcie z profilu" /></td></tr>';
    }
    echo '</table>';
    if (!isset($_GET['user_id']) || ($_SESSION['user_id'] == $_GET['user_id'])) {
      echo '<p>Czy chcesz <a href="editprofile.php">zmodyfikować profil</a>?</p>';
    }
  } // Koniec przetwarzania wiersza z danymi użytkownika.
  else {
    echo '<p class="error">Wystąpił problem przy próbie dostępu do profilu.</p>';
  }
 
  mysqli_close($dbc);
?>
 
<?php
  // Wstawianie stopki strony.
  require_once('footer.php');
?>
 
[PHP] pobierz, plaintext 

startsession.php

[PHP] pobierz, plaintext 
  session_start();
 
  // Jeśli zmienne sesji nie są ustawione, należy spróbować użyć do tego plików cookie.
  if (!isset($_SESSION['user_id'])) {
    if (isset($_COOKIE['user_id']) && isset($_COOKIE['username'])) {
      $_SESSION['user_id'] = $_COOKIE['user_id'];
      $_SESSION['username'] = $_COOKIE['username'];
    }
  }
[PHP] pobierz, plaintext 

Przy próbie oglądnięcia swojego profilu dostaje komunikat.

Warning: mysqli_num_rows() expects parameter 1 to be mysqli_result, boolean given in /x/x/ftp/x/x/x/viewprofile.php on line 33


Przykład jest skopiowany z gotowych kodów które dostępne są na stronie wydawnictwa helion. Jest to przykład z ksiązki który niestety nie chce funkcjonować.

Uczę się dopiero zarządzać sesjami i użytkownikami dlatego też zwracam się z prośbą o pomoc w rozwiązaniu powyższego problemu.

temat był poruszany dla innego pliku php z tego samego ćwiczenia
http://forums.oreilly.com/topic/50019-warn...2990#entry92990

Może się mylę, ale jakoś nie odpowiada mi Twój zapis zapytania:

[PHP] pobierz, plaintext 
$query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_SESSION['user_id'] . "'";
[PHP] pobierz, plaintext 

Ja bym napisał:

[PHP] pobierz, plaintext 
$query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id ='$_SESSION['user_id']'";
[PHP] pobierz, plaintext 

Chociaż obie opcje chyba będą działać...

Próbowaleś użyć mysql zamiast mysqli?

@lukesh mylisz się i to bardzo. Uczysz kogoś sam nie znając podstaw obsługi tekstów i wprowadzając użytkownika w błąd

@darney masz błąd zapytania. Jak wyświetlać błędy zapytania masz napisane tu:
Temat: Jak poprawnie zada pytanie
tylko zamiast mysql_error masz użyc odpowiednika dla mysqli

ZAPYTANIE:SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '14'
Warning: mysqli_query() expects at least 2 parameters, 1 given in /logowanie2/viewprofile.php on line 31

Warning: mysqli_error() expects exactly 1 parameter, 0 given in /logowanie2/viewprofile.php on line 31
BŁĄD:

nie bardzo rozumiem błąd

Kurcze, skopiowałeś bezmyslnie przykład z linka co ci podałem
Przecież napisałem, że ty używasz mysqli a nie mysql i musisz ciut dostosować ten kod do swojej sytuacji :/

zamieniłem na msqli juz na samym początku.

[PHP] pobierz, plaintext 
  if (!isset($_GET['user_id'])) {
    $query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_SESSION['user_id'] . "'";
 
     $sql = $query;
    echo 'ZAPYTANIE:'.$sql;
    mysqli_query($sql) or die('BŁĄD:'.mysqli_error());
  }
  else {
    $query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_GET['user_id'] . "'";
       $sql = $query;
    echo 'ZAPYTANIE:'.$sql;
    mysqli_query($sql) or die('BŁĄD:'.mysqli_error());
  }
[PHP] pobierz, plaintext 

mysqli_query($sql)
Tylko, że mysqli wymaga więcej parametrów niż jeden :/
Mówi ci o tym błąd, mówi ci o tym manual, mówi ci o tym twój kod, który masz w książce. Dlatego napisałem, że bezmyślnie skopiowałeś. Po co ci ta książka, skoro ty z niej tylko przepisujesz, w ogóle nie wiesz co dana linijka robi i czego wymaga. Co to za nauka?


Identyko tu. Bład swoje, a ty swoje.

no właśnie przepisuje po to by analizować dany kod. Samo nie wejdzie do póki nie przepisze i nie przemyśle każdej linii. Nie rozumiem dalej błędu. Nie wiem o co chodzi z 2 parametrami. Jestem tylko wkurzony że książka za która zapłaciłem prawie 100 zł zawiera błędy. Idę męczyć manual.

Twój poprawny kod z ksiązki:
mysqli_query($dbc, $query);
Twój bezmyślnie przepisany kod:
mysqli_query($sql)

Znajdź 10 różnic
mysqli_query($dbc, $query);
mysqli_query($sql);

ale ksiązkowy przykład ma 2 parametry

[PHP] pobierz, plaintext 
$data = mysqli_query($dbc, $query);
[PHP] pobierz, plaintext 

jedynie ja przepisując twój przykład dałem jeden.

No właśnie.... dlatego ciągle piszę, że bezmyślnie kopiujesz :/ Bo mysqli_query wymaga właśnie dwóch parametrów.....
Ja w przykładzie użyłem mysql ty używasz mysqli więc masz myśleć a nie bezmyślnie kopiować.

ZAPYTANIE:
Warning: mysqli_query() [function.mysqli-query]: Empty query in logowanie2/viewprofile.php on line 31

Warning: mysqli_error() expects exactly 1 parameter, 0 given in logowanie2/viewprofile.php on line 31
BŁĄD:

[PHP] pobierz, plaintext 
  if (!isset($_GET['user_id'])) {
    $query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_SESSION['user_id'] . "'";
 
 
    echo 'ZAPYTANIE:'.$sql;
    mysqli_query($dbc, $sql) or die('BŁĄD:'.mysqli_error());
  }
  else {
    $query = "SELECT username, first_name, last_name, gender, birthdate, city, state, picture FROM mismatch_user WHERE user_id = '" . $_GET['user_id'] . "'";
 
    echo 'ZAPYTANIE:'.$sql;
    mysqli_query($dbc, $sql) or die('BŁĄD:'.mysqli_error());
  }
  $data = mysqli_query($dbc, $query);
[PHP] pobierz, plaintext 

naprawdę nie wiem o co tu chodzi.

ale mysqli_error() zgodnie z komunikatem błędu wymaga jednego parametru. Ty zaś nie podajesz żadnego. Czemu nie czytasz tych komunikatów? Czemu nie korzystasz z manuala by zobaczyć jak używać funkcji, których używasz? Czy wszystko po kolei trzeba ci paluszkiem pokazywać jak małemu dziecku?

z edytowałem post. Tam miałem nawalone podwójnie zapytania.

No i co z tego? Nadal mysqli_error źle używasz. Tego nadal nie poprawiłeś

Poza tym dla mysqli_query zapodajesz zmienną $sql a ty zapytanie masz w zmiennej o nazwie $query

ale co ja mam w środek tam wstawić w error $dbc? query ? w manualu też nic nie ma... pewnie czegoś nie rozumiem.

Raczysz żartować...
http://www.php.net/manual/en/mysqli.error.php

Widzę, że potrzebujesz odrobiny motywacji. Tak wiec daję ci ją: zamykam.
Gdy już uporasz się z tym banałem, zapraszam na PW, będziemy dalej kontynuować.
Nawet na forum przedszkole wymagamy mimalnego poziomu.

No i wkońcu się udało. Ostateczny błąd:

Problem rozwiązany

ps:

[PHP] pobierz, plaintext 
 if (!isset($_SESSION['user_id'])) {
    if (isset($_COOKIE['user_id']) && isset($_COOKIE['username'])) {
      $_SESSION['user_id'] = $_COOKIE['user_id'];
      $_SESSION['username'] = $_COOKIE['username'];
    }
  }
[PHP] pobierz, plaintext 

Jeśli w tej książce, tak podchodzą do autoryzacji, to rzuć tę książkę do ogniska. Ona przyniesie ci więcej szkody jak pożytku z takimi naukami.

spokojnie to pierwszy rozdział odnośnie zarządzania userami. W kolejnych pewnie będą dalej rozwijać ten moduł ;P. Powiedz mi dlaczego jest to nie bezpieczna autoryzacja. Coś takiego mozna łatwo obejść?

Tak, każdy pseudo haker obejdzie to w 10 sekund. Nie sądze, by to poprawili dalej. To co tu podali nie powinno się pojawić na żadnym etapie uczenia. Ktoś kto to pisał, miał zerową wiedzę na temat autoryzacji a konkretnie na temat bezpiecznej autoryzacji.

w takim razie jak powinna wyglądać bezpieczna autoryzacja. Proszę o nakierowanie mnie do dobrej lektury:)

Cały kawałek kodu, który ci zacytowałem, powinien zniknąć. I już na początek będzie super.


Kod, który tam jest, autoryzuje użytkownika na podstawie ciastka. A ciastko każdy głupi w 10 sekund ustawi i zaloguje się na dowolne konto w serwisie.

no tak ale jak to wszystko usunę to się nie zaloguję a jakoś trzeba

A próbowałeś?
Ja mówiłem o skasowanie tylko tego:
if (!isset($_SESSION['user_id'])) {
if (isset($_COOKIE['user_id']) && isset($_COOKIE['username'])) {
$_SESSION['user_id'] = $_COOKIE['user_id'];
$_SESSION['username'] = $_COOKIE['username'];
}
}
Nic więcej.

Jeśli naprawdę po skasowaniu tylko tego, nie możesz się zalogować to jest jeszcze gorzej niż myślałem. Pokaż wówczas kod logowania.

nie no działa. Tylko cookie z tego co doczytałem pozwalają określić czas kiedy wyloguje usera który odejdzie od komputera np na 20 min. Czy można to zmienić z poza cookie. Podejrzewam że tak skoro mowa o ciastkach które są niebezpieczne. Bo autor tej książki która podobno ma się dobrze palić używa instrukcji setcookie(session_name(), '', time() - 3600);
Jestem laikiem w sprawach logowania i dopiero się przeuczam. Wiec chcę jedynie zaczerpnąć rady jak mam myśleć żeby się nie w kopać.

Ciacho może stworzyć każdy user sam bez żadnego problemu. Jak ktoś do autoryzacji używa właśnie ciastek, znaczy, że jest totalnym laikiem w tym co pisze. I aż strach się bać o jakość pozostałego kodu. Tak więc spal to póki jeszcze masz okazję

Czas sesji określa serwer a nie użytkownik.

A jak na danym, serwerze stoi kilka stron i jak dam sesji żywot 10 min to każdy mój serwis po 10 minutach pada:P czy można to jakoś przypisać htaccessem ?

Jak serwis pada po 10 minutach? Coś ci się zaczyna pomału mieszać

ehheehhe i kasują się wszystkie konta na facebooku:P no chodzi o sesje to w każdym serwisie po 10 minutach wszystkich wylogowuje. I czy można to przypisać do jednego serwisu

Nie wszystkich, tylko tych co przez 10 minut nic nie zrobili. Jak ktoś po 9 minutach coś kliknął, to znowu ma 10 minut. To jest normalna sprawa i przestań nad tym biedować. Na serwerze można wydłużyć czas. Standardowo jest bodajże 20 minut a nie 10.

Spójrz jeszcze na skrypt logowania i daję już spokój.

[PHP] pobierz, plaintext 
<?php
  require_once('connectvars.php');
 
  // Rozpoczynanie sesji.
  session_start();
 
  // Usuwanie komunikatu o błędzie.
  $error_msg = "";
 
  // Jeśli użytkownik nie jest zalogowany, należy spróbować go zalogować.
  if (!isset($_SESSION['user_id'])) {
    if (isset($_POST['submit'])) {
      // Łączenie się z bazą danych.
      $dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME);
 
      // Pobieranie danych logowania wpisanych przez użytkownika.
      $user_username = mysqli_real_escape_string($dbc, trim($_POST['username']));
      $user_password = mysqli_real_escape_string($dbc, trim($_POST['password']));
 
      if (!empty($user_username) && !empty($user_password)) {
        // Wyszukiwanie nazwy użytkownika i hasła w bazie danych.
        $query = "SELECT user_id, username FROM mismatch_user WHERE username = '$user_username' AND password = SHA('$user_password')";
        $data = mysqli_query($dbc, $query);
 
        if (mysqli_num_rows($data) == 1) {
          // Dane logowania są poprawne, dlatego należy ustawić zmienne (i pliki cookie) sesji z
	  // identyfikatorem i nazwą użytkownika, a następnie przejść do strony głównej. 
	  $row = mysqli_fetch_array($data);
          $_SESSION['user_id'] = $row['user_id'];
          $_SESSION['username'] = $row['username'];
          setcookie('user_id', $row['user_id'], time() + (60 * 60 * 24 * 30));    // Wygasa za 30 dni.
          setcookie('username', $row['username'], time() + (60 * 60 * 24 * 30));  // Wygasa za 30 dni.
          $home_url = 'http://' . $_SERVER['HTTP_HOST'] . dirname($_SERVER['PHP_SELF']) . '/index.php';
          header('Location: ' . $home_url);
        }
        else {
          // Para nazwa użytkownika - hasło jest nieprawidłowa, dlatego należy ustawić komunikat o błędzie.
          $error_msg = 'Musisz podać poprawną parę nazwa - hasło, aby się zalogować.';
        }
      }
      else {
        // Użytkownik nie podał pary nazwa - haso, dlatego należy ustawić komunikat o błędzie.
        $error_msg = 'Musisz podać parę nazwa - hasło, aby się zalogować.';
      }
    }
  }
 
  // Wstawianie nagłówka strony.
  $page_title = 'Logowanie';
  require_once('header.php');
 
  // Jeśli zmienna sesji jest pusta, skrypt wyświetla komunikat o błędzie i formularz
  // logowania. W przeciwnym razie informuje o udanym zalogowaniu użytkownika.
  if (empty($_SESSION['user_id'])) {
    echo '<p class="error">' . $error_msg . '</p>';
?>
 
  <form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
    <fieldset>
      <legend>Logowanie</legend>
      <label for="username">Nazwa użytkownika:</label>
      <input type="text" name="username" value="<?php if (!empty($user_username)) echo $user_username; ?>" /><br />
      <label for="password">Hasło:</label>
      <input type="password" name="password" />
    </fieldset>
    <input type="submit" value="Zaloguj" name="submit" />
  </form>
 
<?php
  }
  else {
    // Potwierdzenie udanego zalogowania.
    echo('<p class="login">Zalogowany użytkownik: ' . $_SESSION['username'] . '.</p>');
  }
?>
 
<?php
  // Wstawianie stopki strony.
  require_once('footer.php');
?>
 
[PHP] pobierz, plaintext 

te cookie rozumiem wywalić?

setcookie('user_id', $row['user_id'], time() + (60 * 60 * 24 * 30)); // Wygasa za 30 dni.
setcookie('username', $row['username'], time() + (60 * 60 * 24 * 30)); // Wygasa za 30 dni.
Tak, to powinno zniknąć.