Forum PHP.pl > [PHP] Problem z formularzem

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP] Problem z formularzem

Turson

1.08.2013, 15:36:29

Jest sobie plik z formularzem (dokładniej w tabelce):

[PHP] pobierz, plaintext 
$zapytanie4 = mysql_query("SELECT * FROM ogloszenia WHERE user_id=$_SESSION[user_id]") or die(mysql_error());
								if ($zapytanie4) 
								{
									$w = mysql_fetch_array($zapytanie4);
									echo '<table style="width:100%;border-spacing:0 10px" id="pokaz_table">';
									while($w = mysql_fetch_assoc($zapytanie4)) 
									{ 
										echo '
										<form action="index.php?page=edytuj_ogloszenie" method="post">
										<input type="hidden" name="id" value="'.$w["id"].'"/>
										<tr>
										<td><a href="index.php?page=pokaz&id='.$w["id"].'">'.$w["tytul"].' '.$w["metraz"].'m˛</a></td>
										<td>'.$w["miasto"].' </td>
										<td>'.$w["cena"].'zł</td>
										<td style="border-left:5px solid white"><input type="image" src="images/Edit.png" style="border:0" name="edytuj"></td>
										<td style="border-left:2px solid white"><input type="image" src="images/delete2.png" style="border:0" name="usun"></td>
										</tr>
										</form>
										';
									}
									echo '</table>';
								}
[PHP] pobierz, plaintext

Oraz plik odbierający formularz:

[PHP] pobierz, plaintext 
$zapytanie4 = mysql_query("SELECT * FROM ogloszenia WHERE user_id=$_POST[id]") or die(mysql_error());
		if ($zapytanie4) 
		{
			$w = mysql_fetch_array($zapytanie4);
			$id = $_POST["id"];
			$tytul = $w["tytul"];
 
				if(isset($_POST["usun"]))
				{
					echo '<a href="index.php?page=pokaz&id='.$id.'"><font style="font-size:17px">'.$tytul.'</font></a>';
					echo 'Czy na pewno chcesz usunąć to ogłoszenie?';
				}
				else 
				{
					echo "NIC";
				}
		}
[PHP] pobierz, plaintext

Problemem jest to, że jak wcisnę w przycisku input "usuń" to dalej wyświetla mi się "NIC".

Helid

1.08.2013, 16:05:40

1) http://matkrzesz.wordpress.com/2010/04/10/...nput-typeimage/
2) SQL Injection możliwe
3) $_POST['usun'] nie ma prawdopodobnie nadanej wartości, musisz do inputa dodać pole value z wartością np. true

Turson

1.08.2013, 19:00:08

Ok, z przyciskiem gotowe.

Czemu mam tutaj uważać na SQL Injection?

Tajgeer

1.08.2013, 19:03:30

Brak filtrowania danych z tablicy $_POST, czyli tych, które są wysyłane przez użytkownika.

Turson

1.08.2013, 19:08:07

Ale użytkownik nie wpisuje tu nic, tylko klika, więc nie wiem po co miałbym filtrować

Tajgeer

1.08.2013, 19:16:58

To w końcu nic nie wpisuje, czy wpisuje "kilka"?

Podstawą jest, aby wszystkie dane, które przychodzą od użytkownika były filtrowane.

http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php

Turson

1.08.2013, 19:49:08

Cytat(Tajgeer @ 1.08.2013, 20:16:58 )

To w końcu nic nie wpisuje, czy wpisuje "kilka"?

K L I K A

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.