Avatar
Tomáš Nazarov:

ahoj nevím si rady jak mám udělat aby upravovat články mohl jen autor článku.
tabulky mám uzivatele a claneky. s tím že u článků mám id_nicku(autora) a u uživatele klasicky id . Ale ted jsem se zasekl a nevím jak udělat podmínku (oprávnění) zkoušel jsem něco typu ("SELECT * FROM clanky, uzivatele WHERE clanky.id_nicku = uzivatele.id=.

dík za rady a nápady

 
Odpovědět 23. května 13:47
Avatar
Mego
Člen
Avatar
Mego:
SELECT * FROM clanky as c
JOIN uzivatele as u ON (c.id_nicku = u.id)
WHERE u.id = 1

Teraz dostaneš iba články, ktoré patria užívateľovi s id=1

Nahoru Odpovědět 23. května 13:51
Radšej 15 minút skôr, ako 15 sekúnd neskoro...
Avatar
Tomáš Nazarov:

a když bych to chtěl s promněnou(jelikož mám více uživatelů tak vynechám where ?

 
Nahoru Odpovědět 23. května 14:02
Avatar
Tomáš Nazarov:
include "../header.php";
    if($_SESSION["id"] AND ($_SESSION["opravneni"] == "1")){
    $idecko_clanku = $_GET["id"];
    if(isset($_POST["ok"])){
      $predmet = $_POST["predmet"];
      $uvod = $_POST["uvod"];
          $adresa = $_POST["adresa"];
      $telefon = $_POST["telefon"];
      $akce = $_POST["akce"];
      $zprava = $_POST["zprava"];
      include "../config.php";
      $zapis = mysql_query("UPDATE clanky SET predmet='$predmet', uvod='$uvod', zprava='$zprava',adresa='$adresa', telefon='$telefon', akce='$akce', WHERE id='$idecko_clanku' ;");
      echo "Článek byl uložen.";
    }
    $dotaz2 = mysql_query("SELECT * FROM clanky as c JOIN uzivatele as u ON (c.id_nicku = u.id)".mysql_real_escape_string($idecko_clanku)."' ;");
                        while($vystup2 = mysql_fetch_object($dotaz2))
                        {
                          $id = $vystup2->id;
                          $uvod = $vystup2->uvod;
                          $predmet = $vystup2->predmet;
                          $zprava = $vystup2->zprava;
                                                  $adresa = $vystup2->adresa;
                                                  $telefon = $vystup2->telefon;
                                                  $akce = $vystup2->akce;

                          }

 ?>
    <form action="./upravit.php?id=<?php echo $idecko_clanku; ?>" method="post">
      <table>
         <td>Název společnosti: <br /><input type="text" name="predmet" size="39" value="<?php echo $uvod; ?>" /></td>
        </tr>
        <tr>
          <td>slogan:<br /><input name="uvod" rows="3" cols="31"   value="<?php echo $predmet; ?>"></input></td>
        <tr>
          <td>adresa: <br /><input name="adresa" rows="5" cols="31"  value="<?php echo $adresa; ?>"   ></input></td>
        </tr>
                 <tr>
          <td>telefon: <br /><input name="telefon" rows="5" cols="31"  value="<?php echo $telefon; ?>"     ></input></td>
        </tr>
                 <tr>
          <td>zprava: <br /><input name="zprava" rows="5" cols="31"  value="<?php echo $zprava; ?>"   ></input></td>
        </tr>
                 <tr>
          <td>akce: <br /><input name="akce" rows="5" cols="31"    value="<?php echo $akce; ?>"     ></input></td>
        </tr>
        <tr>
          <td align="right"><input type="submit" name="ok" value="Odeslat" /></td>
        </tr>
      </table>
    </form>
<?php
} else {
  echo "Nemáte dostatečné oprávnění.";

nevim pořád mi to nejde nevím co dělám blbě

 
Nahoru Odpovědět 23. května 14:08
Avatar
Mego
Člen
Avatar
Mego:

Keď chceš s premennou, tak tam pravdepodobne do WHERE dáš
WHERE u.id = $_SESSION["id"]

musíš sa však vysporiadať s úvodzovkami, pamätaj, že do SQL query (string) vkladáš PHP premennú.

Všetko vyššie uvedené platí len za predpokladu, že v $_SESSION["id"] máš id aktuálneho užívateľa

Nahoru Odpovědět 23. května 14:14
Radšej 15 minút skôr, ako 15 sekúnd neskoro...
Avatar
Mego
Člen
Avatar
Mego:

Toto ti pravdepodobne spadne na syntax errore

$zapis = mysql_query("UPDATE clanky SET predmet='$predmet', uvod='$uvod', zprava='$zprava',adresa='$adresa', telefon='$telefon', akce='$akce', WHERE id='$idecko_clanku' ;");

Uprav si to na

$zapis = mysql_query("UPDATE clanky SET predmet='".$predmet."', uvod='".$uvod."', zprava='".$zprava."',adresa='".$adresa."', telefon='".$telefon."', akce='".$akce."', WHERE id='".$idecko_clanku."'");
Nahoru Odpovědět 23. května 14:16
Radšej 15 minút skôr, ako 15 sekúnd neskoro...
Avatar
Jindřich Máca
Tým ITnetwork
Avatar
Jindřich Máca:

Ahoj, jen jsem si náhodou otevřel tuto diskusi koukl na uvedený kód a prosím takhle NE! Teď neřeším vůbec funkčnost, ale nebezpečí takovýchto kódů. A argument typu "je to jenom pro mě na vyzkoušení" neberu, protože je potřeba učit se to pořádně hned od začátku. Ten kód, co je zde uváděn je ukázkový příklad pro demonstraci SQL injection - viz. http://www.itnetwork.cz/…on-a-obrana/

Vysvětlení:

// Odsud se získá obsah této proměnné tj. z uživatelského vstupu bez jakékoliv kontroly.
$predmet = $_POST["predmet"];

// Potom se tento vstup dosazuje přímo do SQL dotazu, opět bez kontroly.
$zapis = mysql_query("UPDATE clanky SET predmet='$predmet', uvod='$uvod', zprava='$zprava',adresa='$adresa', telefon='$telefon', akce='$akce', WHERE id='$idecko_clanku' ;");

// A to i v tomto případě.
$zapis = mysql_query("UPDATE clanky SET predmet='".$predmet."', uvod='".$uvod."', zprava='".$zprava."',adresa='".$adresa."', telefon='".$telefon."', akce='".$akce."', WHERE id='".$idecko_clanku."'");

A teď mi řekněte, co se stane, když uživatel zadá do té proměnné nějaký SQL kód? No samozřejmě se vykoná.

// Příklad pro první případ.
$predmet = ".'DROP TABLE clanky;'.";

// Příklad pro druhý případ.
$predmet = "DROP TABLE clanky;";

Takže právě jste přišli o všechny články... Blbý co? :D

Pozn.: Kód jsem nezkoušel, jde o demonstraci toho, že ten kód se prostě vykoná a pokud se tam trefíte s tím správným fungujícím kódem, můžete nadělat pořádnou paseku...

 
Nahoru Odpovědět  +3 23. května 14:34
Avatar
Mego
Člen
Avatar
Mego:

Áno, čo sa týka bezpečnosti, tak tú som akosi prehliadol (schválne)

Nahoru Odpovědět  +1 23. května 15:51
Radšej 15 minút skôr, ako 15 sekúnd neskoro...
Avatar
Jindřich Máca
Tým ITnetwork
Avatar
Odpovídá na Mego
Jindřich Máca:

V pohodě, Ty ses snažil vyřešit dotaz a soustředil ses na to. ;-) Já jsem se na to podíval zase z jiného úhlu jako kritik... :-D

 
Nahoru Odpovědět  +1 23. května 16:59
Avatar
Tomáš Nazarov:

díky za radu mého problému.A co se týče bezpečnosti mě to vůbec nenapadlo jsem začátečník a lehce se v tom plácám. dík za odkaz prozkoumám a doučím se.

 
Nahoru Odpovědět  +1 24. května 14:22
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 10.