IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: úprava článku

Aktivity
Avatar
Tomáš Nazarov
Člen
Avatar
Tomáš Nazarov:23.5.2016 13:47

ahoj nevím si rady jak mám udělat aby upravovat články mohl jen autor článku.
tabulky mám uzivatele a claneky. s tím že u článků mám id_nicku(autora) a u uživatele klasicky id . Ale ted jsem se zasekl a nevím jak udělat podmínku (oprávnění) zkoušel jsem něco typu ("SELECT * FROM clanky, uzivatele WHERE clanky.id_nicku = uzivatele.id=.

dík za rady a nápady

 
Odpovědět
23.5.2016 13:47
Avatar
Lava
Člen
Avatar
Lava:23.5.2016 13:51 
SELECT * FROM clanky as c
JOIN uzivatele as u ON (c.id_nicku = u.id)
WHERE u.id = 1

Teraz dostaneš iba články, ktoré patria užívateľovi s id=1

Nahoru Odpovědět
23.5.2016 13:51
Aspartám, sacharín, to je môj vitamín
Avatar
Tomáš Nazarov
Člen
Avatar
Tomáš Nazarov:23.5.2016 14:02

a když bych to chtěl s promněnou(jelikož mám více uživatelů tak vynechám where ?

 
Nahoru Odpovědět
23.5.2016 14:02
Avatar
Tomáš Nazarov
Člen
Avatar
Tomáš Nazarov:23.5.2016 14:08 
include "../header.php";
    if($_SESSION["id"] AND ($_SESSION["opravneni"] == "1")){
    $idecko_clanku = $_GET["id"];
    if(isset($_POST["ok"])){
      $predmet = $_POST["predmet"];
      $uvod = $_POST["uvod"];
          $adresa = $_POST["adresa"];
      $telefon = $_POST["telefon"];
      $akce = $_POST["akce"];
      $zprava = $_POST["zprava"];
      include "../config.php";
      $zapis = mysql_query("UPDATE clanky SET predmet='$predmet', uvod='$uvod', zprava='$zprava',adresa='$adresa', telefon='$telefon', akce='$akce', WHERE id='$idecko_clanku' ;");
      echo "Článek byl uložen.";
    }
    $dotaz2 = mysql_query("SELECT * FROM clanky as c JOIN uzivatele as u ON (c.id_nicku = u.id)".mysql_real_escape_string($idecko_clanku)."' ;");
                        while($vystup2 = mysql_fetch_object($dotaz2))
                        {
                          $id = $vystup2->id;
                          $uvod = $vystup2->uvod;
                          $predmet = $vystup2->predmet;
                          $zprava = $vystup2->zprava;
                                                  $adresa = $vystup2->adresa;
                                                  $telefon = $vystup2->telefon;
                                                  $akce = $vystup2->akce;

                          }

 ?>
    <form action="./upravit.php?id=<?php echo $idecko_clanku; ?>" method="post">
      <table>
         <td>Název společnosti: <br /><input type="text" name="predmet" size="39" value="<?php echo $uvod; ?>" /></td>
        </tr>
        <tr>
          <td>slogan:<br /><input name="uvod" rows="3" cols="31"   value="<?php echo $predmet; ?>"></input></td>
        <tr>
          <td>adresa: <br /><input name="adresa" rows="5" cols="31"  value="<?php echo $adresa; ?>"   ></input></td>
        </tr>
                 <tr>
          <td>telefon: <br /><input name="telefon" rows="5" cols="31"  value="<?php echo $telefon; ?>"     ></input></td>
        </tr>
                 <tr>
          <td>zprava: <br /><input name="zprava" rows="5" cols="31"  value="<?php echo $zprava; ?>"   ></input></td>
        </tr>
                 <tr>
          <td>akce: <br /><input name="akce" rows="5" cols="31"    value="<?php echo $akce; ?>"     ></input></td>
        </tr>
        <tr>
          <td align="right"><input type="submit" name="ok" value="Odeslat" /></td>
        </tr>
      </table>
    </form>
<?php
} else {
  echo "Nemáte dostatečné oprávnění.";

nevim pořád mi to nejde nevím co dělám blbě

 
Nahoru Odpovědět
23.5.2016 14:08
Avatar
Lava
Člen
Avatar
Lava:23.5.2016 14:14

Keď chceš s premennou, tak tam pravdepodobne do WHERE dáš
WHERE u.id = $_SESSION["id"]

musíš sa však vysporiadať s úvodzovkami, pamätaj, že do SQL query (string) vkladáš PHP premennú.

Všetko vyššie uvedené platí len za predpokladu, že v $_SESSION["id"] máš id aktuálneho užívateľa

Nahoru Odpovědět
23.5.2016 14:14
Aspartám, sacharín, to je môj vitamín
Avatar
Lava
Člen
Avatar
Lava:23.5.2016 14:16

Toto ti pravdepodobne spadne na syntax errore

$zapis = mysql_query("UPDATE clanky SET predmet='$predmet', uvod='$uvod', zprava='$zprava',adresa='$adresa', telefon='$telefon', akce='$akce', WHERE id='$idecko_clanku' ;");

Uprav si to na

$zapis = mysql_query("UPDATE clanky SET predmet='".$predmet."', uvod='".$uvod."', zprava='".$zprava."',adresa='".$adresa."', telefon='".$telefon."', akce='".$akce."', WHERE id='".$idecko_clanku."'");
Nahoru Odpovědět
23.5.2016 14:16
Aspartám, sacharín, to je môj vitamín
Avatar
Jindřich Máca
Tvůrce
Avatar
Jindřich Máca:23.5.2016 14:34

Ahoj, jen jsem si náhodou otevřel tuto diskusi koukl na uvedený kód a prosím takhle NE! Teď neřeším vůbec funkčnost, ale nebezpečí takovýchto kódů. A argument typu "je to jenom pro mě na vyzkoušení" neberu, protože je potřeba učit se to pořádně hned od začátku. Ten kód, co je zde uváděn je ukázkový příklad pro demonstraci SQL injection - viz. http://www.itnetwork.cz/…on-a-obrana/

Vysvětlení:

// Odsud se získá obsah této proměnné tj. z uživatelského vstupu bez jakékoliv kontroly.
$predmet = $_POST["predmet"];

// Potom se tento vstup dosazuje přímo do SQL dotazu, opět bez kontroly.
$zapis = mysql_query("UPDATE clanky SET predmet='$predmet', uvod='$uvod', zprava='$zprava',adresa='$adresa', telefon='$telefon', akce='$akce', WHERE id='$idecko_clanku' ;");

// A to i v tomto případě.
$zapis = mysql_query("UPDATE clanky SET predmet='".$predmet."', uvod='".$uvod."', zprava='".$zprava."',adresa='".$adresa."', telefon='".$telefon."', akce='".$akce."', WHERE id='".$idecko_clanku."'");

A teď mi řekněte, co se stane, když uživatel zadá do té proměnné nějaký SQL kód? No samozřejmě se vykoná.

// Příklad pro první případ.
$predmet = ".'DROP TABLE clanky;'.";

// Příklad pro druhý případ.
$predmet = "DROP TABLE clanky;";

Takže právě jste přišli o všechny články... Blbý co? :D

Pozn.: Kód jsem nezkoušel, jde o demonstraci toho, že ten kód se prostě vykoná a pokud se tam trefíte s tím správným fungujícím kódem, můžete nadělat pořádnou paseku...

 
Nahoru Odpovědět
23.5.2016 14:34
Avatar
Lava
Člen
Avatar
Lava:23.5.2016 15:51

Áno, čo sa týka bezpečnosti, tak tú som akosi prehliadol (schválne)

Nahoru Odpovědět
23.5.2016 15:51
Aspartám, sacharín, to je môj vitamín
Avatar
Jindřich Máca
Tvůrce
Avatar
Odpovídá na Lava
Jindřich Máca:23.5.2016 16:59

V pohodě, Ty ses snažil vyřešit dotaz a soustředil ses na to. ;-) Já jsem se na to podíval zase z jiného úhlu jako kritik... :-D

 
Nahoru Odpovědět
23.5.2016 16:59
Avatar
Tomáš Nazarov
Člen
Avatar
Tomáš Nazarov:24.5.2016 14:22

díky za radu mého problému.A co se týče bezpečnosti mě to vůbec nenapadlo jsem začátečník a lehce se v tom plácám. dík za odkaz prozkoumám a doučím se.

 
Nahoru Odpovědět
24.5.2016 14:22
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 10.