[PHP] zabezpieczenie skryptu Opcje

[AddoN]

Witam,

mam skrypt który wyświetla jedną komórkę z bazy w zależności od tego który użytkownik jest zalogowany:

[PHP] pobierz, plaintext 
 
   <?php
$id = $_SESSION['nazwisko'];
$go = mysql_query("SELECT UserTresc FROM serwis__smod_users  WHERE nazwisko = '$id'");
$row = mysql_fetch_array($go);
echo $row['UserTresc'];
?> 
 
 
[PHP] pobierz, plaintext 

Pojawił się jednak taki problem, że gdy w bazie są dwie osoby o tym samym nazwisku, czasami skrypt się gubi i wyświetla nie tę zawartość rekokrdu UserTresc która jest do niego przypisana.

Do sesji ładowana jest jeszcze zmienna imie. Czy mógłby mi to ktoś pomóc i napisać jak powinno wyglądać to WHERE nazwisko & imie ='$id' żeby to działało?

[Zielonkawy18]

[PHP] pobierz, plaintext 
$imie=$_SESSION['imie']
[PHP] pobierz, plaintext 

i potem po prostu w where dajesz:

[SQL] pobierz, plaintext 
... AND imie='$imie'
[SQL] pobierz, plaintext 

Pewnie masz zaczętą sesję i tam przetrzymujesz imię - login ( domyślam się ) (IMG:style_emoticons/default/smile.gif)

I nie używaj już mysql tylko PDO.

Ten post edytował Zielonkawy18 31.12.2012, 09:37:00

[AddoN]

Wszystko działa, dzięki ;]

[viking]

Ja dodam że to co zostało tutaj przedstawione czyli podstawienie danych bezpośrednio z sesji do zapytania to wzorowy przykład na SQL Injection. Poczytaj o tym i zabezpiecz.

[Damonsson]

Jak dane przypisywane do sesji są wcześniej filtrowane, to nie ma co zabezpieczać.

Pamiętaj, że ktoś może mieć takie samo na imię i nazwisko. Powinieneś przypisywać unikalne ID dla każdego użytkownika