[PHP] Edycja Opcje

[Max Damage]

Cześć, mam taki oto skrypt, jeśli nie istnieje $ed to pokazuje mi linki, po ich wciśnięciu wykonywane jest zapytanie do bazy, i tu pojawia się problem, ponieważ nie przekazuje mi wtedy zmiennych $tabela i $id. Jak to poprawić?

[PHP] pobierz, plaintext 
<?
$id=$_GET['id'];
$tabela=$_GET['marka'];
$ed=$_GET['ed'];
 
if(!isset($_GET['ed'])){
echo "<a href='edytuj.php?ed=kraj'>dodaj/edytuj kraj</a><br />";
echo "<a href='edytuj.php?ed=masa'>dodaj/edytuj mase własną</a><br />";
}
 
else {
$ed=$_GET['ed'];
 
$wynik=mysql_query("SELECT * FROM $tabela WHERE id='$id'") or die (mysql_error());
$wiersz=mysql_fetch_assoc($wynik);
 
if($ed=='kraj') {
?>
Kraj: 
<form action='dodaj_auto.php' method='post' enctype='multipart/form-data'>
<input size='20' name='dzien' value="<?php echo $wiersz['kraj'] ?>">
<input type="submit" name='wyslij' value="wyslij" />
echo "</form>";
<?php
}
elseif($ed=='masa') {
?>
Masa: 
<form action='dodaj_auto.php' method='post' enctype='multipart/form-data'>
<input size='20' name='dzien' value="<?php echo $wiersz['masa'] ?>">
<input type="submit" name='wyslij' value="wyslij" />
</form>
<?php
	}
}
[PHP] pobierz, plaintext 

[Pride]

Huhu w sumie to albo ja z rana nie "ogarniam", albo coś tu za mało info/kodu podałeś (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Swoją drogą patrząc na to, to jak ma ci to przekazać, jeżeli w tym momencie (wywołania kodu jeszcze raz) get jest pusty? Powinno być: dodaj_auto.php?id=X&table=Y
Ogólnie to po co wkładasz tego get'a do zmiennej? Nie możesz go bezpośrednio wstawić do zapytania?

[Shili]

[PHP] pobierz, plaintext 
<?php
echo "<a href='edytuj.php?ed=kraj&tabela=".$tabela."&id=".$id."'>dodaj/edytuj kraj</a><br />";
?>
[PHP] pobierz, plaintext 

Powinieneś jeszcze wcześniej sprawdzić, czy tabela i id nie są puste.

I oczywiście Twój skrypt jest dziurawy jak stare sito. Poczytaj sobie o filtrowaniu zmiennych pochodzących od użytkownika, czyli między innymi tych przekazywanych w adresie.

Ogólnie to po co wkładasz tego get'a do zmiennej? Nie możesz go bezpośrednio wstawić do zapytania?

Prościej się na nich operuje.

[Pride]

Prościej się na nich operuje.

No czy ja wiem. Przy większych skryptach to po prostu zaśmiecanie kodu, kiedy masz ~10 postów które zamieniasz na 10 zmiennych, które tak czy siak musisz wstawić do zapytania.

Ten post edytował Pride 16.07.2008, 10:41:14

[Max Damage]

Prawdę mówiąc nie chciałem już tego wszystkiego wklejać do linka, bo jak tak dalej pójdzie to będzie miał tam z 10 zmiennych, no ale skoro tak musi być to ok. A jeśli chodzi o bezpieczeństwo to póki co nie zwracam na to uwagi, to mój pierwsza strona taka z prawdziwego zdarzenia więc najpierw chciałbym aby wszystko chodziło jak trzeba.
Dzięki.

[Shili]

Si, ale przy profesjonalnym skrypcie, gdzie usuwasz niebezpieczne znaki, być może usuwasz również tagi i rzutujesz liczbę wygodniej jest to robić poprzez $pole = (rzutuj)funkcja1(funkcja2($_GET['pole']));

A tworzenie zapytania z taką filtracją lub przypisanie filtrowanych danych bezpośrednio do geta nie uważam za zbyt dobry pomysł (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

A jeśli chodzi o bezpieczeństwo to póki co nie zwracam na to uwagi, to mój pierwsza strona taka z prawdziwego zdarzenia więc najpierw chciałbym aby wszystko chodziło jak trzeba.

To uważaj, bo jak ktoś dropnie Ci bazę, to na pewno nie będzie chodzić jak trzeba (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował Shili 16.07.2008, 10:45:01