Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [MySQL][PHP] Zmienna $_GET
Forum PHP.pl > Forum > Przedszkole
JulekJP
11.03.2010, 16:02:59
Witam, mam dość skomplikowany problem dla mnie i nie wiem jak go wyrazić.. Po prostu chce zrobić zmienna GET gdzie w adresie np dodam ?krok=edytuj&id=[id_usera] to mi wyświetli dane z bazy danych tylko o id usera podanym w adresie(get). Prosił bym o pomoc. Poniżej podaje skrypt pliku..

[PHP] pobierz, plaintext 
  1. <?php 
  2. ob_start();
  3. require("../manicore.php");
  4. require("../header.php"); 
  5. if (!$datauser['user_level'] == 103)
  6. {	header("Location: ../login.php"); exit; } else {
  7. $krok = $_GET['krok'];
  8. $result = mysql_query("SELECT * FROM user ORDER BY user_name");
  9. $data = mysql_fetch_assoc($result);
  10.  
  11. 	echo "<div id=\"conten\">
  12. 		  <div id=\"conten_01\">";
  13. 		  if ($krok == "edytuj&amp;id=".$data['id'])
  14. 		  {
  15. 			  echo " czesc";
  16. 		  }
  17. 		  if (!$krok)
  18. 		  {
  19. ?>
  20. <table width="70%" border="0">
  21.   <tr>
  22.     <td><strong>Nazwa klienta</strong></td>
  23.     <td align="center"><strong>Typ</strong></td>
  24.     <td><strong>Opcje</strong></td>
  25.   </tr>
  26. <?php
  27. 			 for($i = 0; $i < mysql_num_rows($result); $i++)
  28. 			 {
  29. 				 	$data = mysql_fetch_assoc($result);
  30. 					echo "<tr>
  31. 							<td>".$data['user_names']." ".$data['user_name']."</td>
  32. 							<td>".getuserlevel($data['user_level'])."</td>
  33. 							<td>[edytuj] | [usuń]</td>
  34. 						  </tr>";
  35. 			 }
  36.  
  37. 		  }
  38. 			echo "</table>";
  39. 			echo "<br class=\"clearfloat\" />";
  40. 		  echo "</div>";
  41. } 
  42. require("../footer.php");
  43. ob_end_flush();
  44. ?>
[PHP] pobierz, plaintext


Jak widać zrobiłem to tak.. ;|
MateuszS
11.03.2010, 16:17:50 
[PHP] pobierz, plaintext 
  1.  
  2. if(isset($_GET["edytuj"]))
  3. {
  4.    if(isset($_GET["id_usera"])) {
  5.       //tu ten kod edycji,
  6.   }
  7. }
  8.  
[PHP] pobierz, plaintext
JulekJP
11.03.2010, 18:00:51
Zrobiłem tak

[PHP] pobierz, plaintext 
  1. if($_GET['edycja'])
  2. 			{
  3. 				echo "problem";
  4. 				$result = mysql_query("SELECT * FROM user WHERE id=".$_GET['edycja']." ");
  5. 				$user = mysql_fetch_assoc($result);
  6. 				echo $user['user_name'];
  7. 			}
[PHP] pobierz, plaintext


i w adresie wpisując ?edycja=2 nie wyświetla mi danych a jak dam swoje id czyli 1 to wyświetla mi dane ;|
luck
11.03.2010, 18:12:09
Na pewno masz w bazie usera o id=2? Co się dzieje jeśli na sztywno podasz takie id w zapytaniu? Jaki jest wynik?
BTW. W wolnym czasie poczytaj o SQL Injection. Serio, poczytaj.
JulekJP
11.03.2010, 18:36:23
A no sorry nie ma id 2 moja wina.. dlaczego mam poczytać o SQL Injection? Coś słyszałem o tym
luck
11.03.2010, 18:41:24
Choćby dlatego, że pozwolenie na wysłanie do bazy takiego zapytania:
[SQL] pobierz, plaintext 
  1. mysql_query("SELECT * FROM user WHERE id=".$_GET['edycja']." ")
[SQL] pobierz, plaintext
to programistyczne samobójstwo. To są bardzo poważne rzeczy, dlatego zwracam Ci na nie uwagę.
JulekJP
11.03.2010, 19:11:26
No jedna osoba mi pisała.. Przeczytałem sobie o SQL Injection i wiem jak wykorzystać to ale jak zabezpieczyć się przed tym to nadal nie wiem.. Morzę masz jakąś strone gdzie dowiem sie jak zabespieczyć? Albo ty morze mi pomożesz?
luck
11.03.2010, 19:16:53
Polecam ten wątek: Temat: SQL Injection Insertion
A na początek możesz dać choćby
[PHP] pobierz, plaintext 
  1. "SELECT * FROM user WHERE id=".mysql_real_escape_string($_GET['edycja'])
[PHP] pobierz, plaintext
JulekJP
11.03.2010, 20:44:29
Cały kod pliku wygląda tak.. Czy jest dobrze?

[PHP] pobierz, plaintext 
  1. <?php 
  2. ob_start();
  3. require("../manicore.php");
  4. require("../header.php"); 
  5. if (!$datauser['user_level'] == 103)
  6. {	header("Location: ../login.php"); exit; } else {
  7.  
  8. 	echo "<div id=\"conten\">
  9. 		  <div id=\"conten_01\">";
  10.  
  11.  
  12. 			if($_GET['edycja'])
  13. 			{
  14. 				$edycja = mysql_real_escape_string($_GET['edycja']);
  15. 				$result = mysql_query("SELECT * FROM user WHERE id=$edycja ");
  16. 				$user = mysql_fetch_assoc($result);
  17. 				echo $user['user_name'];
  18. 			} else {
  19. ?>
  20. <table width="70%" border="0">
  21.   <tr>
  22.     <td><strong>Nazwa klienta</strong></td>
  23.     <td align="center"><strong>Typ</strong></td>
  24.     <td><strong>Opcje</strong></td>
  25.   </tr>
  26. <?php
  27. 			 $result = mysql_query("SELECT * FROM user ORDER BY user_name");
  28. 			 for($i = 0; $i < mysql_num_rows($result); $i++)
  29. 			 {
  30. 				 	$data = mysql_fetch_assoc($result);
  31. 					echo "<tr>
  32. 							<td>".$data['user_names']." ".$data['user_name']."</td>
  33. 							<td>".getuserlevel($data['user_level'])."</td>
  34. 							<td>[edytuj] | [usun]</td>
  35. 						  </tr>";
  36. 			 }
  37.  
  38. 		  }
  39. 			echo "</table>";
  40. 			echo "<br class=\"clearfloat\" />";
  41. 		  echo "</div>";
  42. } 
  43. require("../footer.php");
  44. ob_end_flush();
  45. ?>
[PHP] pobierz, plaintext
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.