[MySQL][PHP] Problem z edycją rekordów - formularz edycji nie ukazuje się w przeglądarce. Opcje

[LeoMInor]

Witam forumowiczów (IMG:style_emoticons/default/smile.gif)

Nie znalazłem podobnego tematu w wyszukiwarce, więc:

Mam problem z edycją rekordów bazy z poziomu panelu admina.
Pisałem stronę na webserv i wszystko śmigało. Po zalogowaniu wyświetlały się nazwy pozycji menu strony a przy nich przycisk edytuj.
Po kilknięciu na niego wchodził formularz edycji.

Teraz wrzuciłem stronę na serwer OVH i ku mojemu zdziwieniu co prawda po zalogowaniu pozycje menu się wyświetlają, ale po wybraniu edycji strona nie wyświetla formularza edycji, a tylko się przeładowuje no i mogę tak klikać edytuj do przyszłego wieku.
W pasku przeglądarki widzę, że zmienne $p i $ile są przekazywane przez zapytanie (/admin.php?p=e&id=1).

Kod:

[PHP] pobierz, plaintext 
<?
 
if (isset($_GET["logout"]) && ($_GET["logout"]=="1")) {unset($_SESSION["access"]);}
 
$sql = mysql_connect("***","***","***"); 
mysql_select_db('***'); 
mysql_query('set charset utf8');
 
if((isset($_POST['user']) && $_POST['user'] !== "") && (isset($_POST['pass']) && $_POST['pass'] !== "")) {
$result=mysql_query("select * from users where user='".$_POST["user"]."' and pass='".md5($_POST["pass"])."'");
$ile=mysql_num_rows($result);
 
if ($ile=="1"){
$_SESSION["access"]=1;
}}
 
 
 
if (isset($_SESSION["access"]) && ($_SESSION["access"]=="1")){
 
 
$wynik = mysql_query("select id,link from menu"); 
 
	while ($w = mysql_fetch_row($wynik)) { 
        echo $w[1]." - "."\n"; 
        echo "<A HREF=\"admin.php?p=e&id=$w[0]\">edytuj</A><BR> "; 
        } 
 
	echo "<A HREF=\"admin.php?logout=1\">Wyloguj</A>";
 
 
   if (isset($p) && ($p == "e")) { 
     $wynik = mysql_query("select * from menu where id='$id'"); 
     $w = mysql_fetch_row($wynik); 
     echo "<FORM METHOD=\"post\" ACTION=\"admin.php\">"; 
     echo "<TEXTAREA NAME=\"tresc\">$w[2]</TEXTAREA><BR>"; 
     echo "<INPUT TYPE=\"hidden\" NAME=\"id\" VALUE=\"$w[0]\"><BR>"; 
     echo "<INPUT TYPE=\"submit\" VALUE=\"edytuj\">"; 
     echo "</FORM>"; 
   } 
 
   if (isset($tresc) && ($tresc != "")) { 
     echo "<BR>Zaktualizowano."; 
     mysql_query("UPDATE menu SET tresc = '$tresc' where id = '$id'"); 
   } 
 
}
 
else {
echo "<FORM METHOD=\"post\" ACTION=\"admin.php\">";
echo "login:<BR>";
echo "<INPUT TYPE=\"text\" NAME=\"user\"><BR>";
echo "hasło:<BR>";
echo "<INPUT TYPE=\"password\" NAME=\"pass\"><BR>";
echo "<INPUT TYPE=\"submit\" VALUE=\"loguj\">";
echo "</FORM>";
}
 
 ?> 
 
 
[PHP] pobierz, plaintext 

(IMG:style_emoticons/default/co_jest.gif) Pomożecie?

[mat-bi]

Pierwsze, co mi się rzuciło, to straszna podatność na SQL Injection (IMG:style_emoticons/default/wink.gif)

Hmm, czy mi się wydaje, czy register_globals jest problemem?

[LeoMInor]

Strzał w 10, dzięki. (IMG:style_emoticons/default/snitch.gif) Jak rozumiem ustawienie jedynki przy zmiennych globalnych w .htaccess nie sprzyja bezpieczeństwu (?) a moje problemy w tym miejscu zamiast się kończyć, dopiero się zaczynają.
Więc powstaje pytanie jak wygląda metoda pozwalająca działać temu formularzowi bez włączania zmiennych globalnych?
No i czy podatność na atak wynikła z braku zastosowania jakiejś konkretnej nazwijmy to - sztuczki, czy kod jest że tak powiem skopany od podstaw?

Ten post edytował LeoMInor 4.03.2012, 20:03:30

[mat-bi]

Temat: SQL Injection Insertion - poczytaj sobie.

A żeby ten formularz działał, jest kilka dróg m.in. włączenie register_globals(cholernie niepolecane) oraz po prostu przerobienie odpowiednich zmiennych w elementy tablicy $_POST/$_GET/$_REQUEST etc.

[LeoMInor]

(...) oraz po prostu przerobienie odpowiednich zmiennych w elementy tablicy $_POST/$_GET/$_REQUEST etc.

ok, trochę szukałem, ba - nawet próbowałem przerobić, ale chyba nie wiem jak to ma wyglądać.. jest jakiś dział poniżej przedszkola? (IMG:style_emoticons/default/brzydal.gif)

No nic, mimo wszystko dzięki za wskazówkę. Będę szukał dalej jak to zrobić. Pozdrawiam (IMG:style_emoticons/default/smile.gif)

cześć, wznawjając temat:

Pojawiła się odpowiedź, że jedną z opcji jest "przerobienie odpowiednich zmiennych w elementy tablicy $_POST/$_GET/$_REQUEST etc. "
Problem w tym, że nie wiem jak to ma wyglądać. Podpowie ktoś?

No i jeszcze kwestia SQL injection - czy zastosowanie addslashes wystarczy żeby się obronić?

[nospor]

nie
$zmienna
a
$zmienna = $_POST['zmienna'];
Tu żadnej filozofii nie ma

[LeoMInor]

nie
$zmienna
a
$zmienna = $_POST['zmienna'];
Tu żadnej filozofii nie ma

ok, ale jeśli mam coś takiego

[PHP] pobierz, plaintext 
if ($_GET["logout"]=="1") {unset($_SESSION["access"]);}
[PHP] pobierz, plaintext 

i wiadomość typu Notice: Undefined index: logout in /(...)admin.php on line 8

to ja mogę dać POSTa zamiast GETa?

lub tutaj:

[PHP] pobierz, plaintext 
if ($ile=="1"){
$_SESSION["access"]=1;
}
 
if ($_SESSION["access"]=="1"){
[PHP] pobierz, plaintext 

tu z kolei jest błąd dla accessa.

[jaslanin]

to oznacza że element taki element tablicy nie został zainicjowany tj. nie została mu przypisana żadna wartość, najlepiej

zanim użyje się jakiejś zmiennej dobrze jest sprawdzać czy istnieje za pomocą isset:

Temat: PHP Notice Undefined index

możesz też wyłączyć tę informację:

[PHP] pobierz, plaintext 
<?php error_reporting (E_ALL ^ E_NOTICE); ?>
[PHP] pobierz, plaintext 

ale lepiej tego nie robić bo taka informacja się przydaje przy debugowaniu

[LeoMInor]

Tylko, że jak dam issety to rzeczywiście giną te powiadomienia, ale formularz nie działa.
Bardziej chodziło mi o to co napisali @mat-bi i @nospor (IMG:style_emoticons/default/smile.gif)

[jaslanin]

Tutaj ustawiłeś że formularz ma przesyłać dane metodą POST

[PHP] pobierz, plaintext 
   if (isset($p) && ($p == "e")) { 
     $wynik = mysql_query("select * from menu where id='$id'"); 
     $w = mysql_fetch_row($wynik); 
     echo "<FORM METHOD=\"post\" ACTION=\"admin.php\">"; 
     echo "<TEXTAREA NAME=\"tresc\">$w[2]</TEXTAREA><BR>"; 
     echo "<INPUT TYPE=\"hidden\" NAME=\"id\" VALUE=\"$w[0]\"><BR>"; 
     echo "<INPUT TYPE=\"submit\" VALUE=\"edytuj\">"; 
     echo "</FORM>"; 
   } 
[PHP] pobierz, plaintext 

tutaj natomiast robisz coś takiego:

[PHP] pobierz, plaintext 
if (isset($tresc) && ($tresc != "")) {
echo "<BR>Zaktualizowano.";
mysql_query("UPDATE menu SET tresc = '$tresc' where id = '$id'");
} 
[PHP] pobierz, plaintext 

w starym PHP była możliwość że dane przesyłane przez POST, GET itd. były od razu dostępne przez zwykłe zmienne, dlatego @mat-bi napisał o register_globals (to jest właśnie to)

jak widzisz nigdzie wcześniej w kodzie nie przypisałeś wartości do zmiennej $tresc, a skoro powyższa opcja którą opisałem jest wyłączona ze względów bezpieczeństwa Twój skrypt nie działa

żeby działał musisz go zmienić tak jak napisał @nospor, czyli dla przykładu:

[PHP] pobierz, plaintext 
$tresc = $_POST['tresc'];
if (isset($tresc) && ($tresc != "")) {
echo "<BR>Zaktualizowano.";
mysql_query("UPDATE menu SET tresc = '$tresc' where id = '$id'");
} 
[PHP] pobierz, plaintext 

Dodatkowo zamiast ciągle robić echo kodu HTML lepiej wielokrotnie zamykać blok kodu PHP, przykład:

[PHP] pobierz, plaintext 
<div class="user_controls">
	<?php if ($user = Current_User::user()): ?>
		Hello, <em><?php echo $user->username; ?></em> <br/>
		<?php echo anchor('logout', 'Logout'); ?>
	<?php else: ?>
		<?php echo anchor('login','Login'); ?> |
		<?php echo anchor('signup', 'Register'); ?>
	<?php endif; ?>
</div>
 
<h1>My Message Board</h1>
 
<?php foreach($categories as $category): ?>
 
	<div class="category">
 
		<h2><?php echo $category->title; ?></h2>
 
		<?php foreach($category->Forums as $forum): ?>
 
			<div class="forum">
 
				<h3>
					<?php echo anchor('forums/'.$forum->id, $forum->title) ?>
					(<?php echo $forum->Threads->count(); ?> threads)
				</h3>
 
				<div class="description">
					<?php echo $forum->description; ?>
				</div>
 
			</div>
 
		<?php endforeach; ?>
 
	</div>
 
<?php endforeach; ?>
[PHP] pobierz, plaintext 

Ten post edytował jaslanin 1.04.2012, 16:18:45