[PHP+SQL]Usuwanie wiadomosci+bezpieczenstwo

[PHP+SQL]Usuwanie wiadomosci+bezpieczenstwo, Jak to zrobic bez sesji i bez panelu admina?

marcio Zobacz profil	22.12.2007, 18:35:57 Post #1
Grupa: Zarejestrowani Postów: 2 291 Pomógł: 156 Dołączył: 23.09.2007 Skąd: ITALY-MILAN Ostrzeżenie: (10%)	Witam zrobilem sobie usuwanie wiadomosci w ksiedze gosci(nawet robi rym (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) ) lecz jest ono slabo zabezpieczone tzn,link do usuwania danej wiadomosci widza tylko osoby ktore maja takie same ip jak dany post i jak dodta wszystko dziala. problem polega na tym ze znajac id posta mozna usunac co sie chce wpisujac go w url(usuwanie przesylam GET'em) tak to wyglada. [PHP] pobierz, plaintext <?php switch ($_GET['action']) { case 'usun': if($db = mysql_connect($this->pasy['host'], $this->pasy['login'], $this->pasy['haslo'])) { mysql_select_db($this->pasy['baza']); $ask = ("delete from ksiega_gosci where id=".(int)$_GET['id']); mysql_query($ask, $db); mysql_close($db); break; } } ?> [PHP] pobierz, plaintext a tu pokazaywanie postow z linkiem do usuwania lub bez: [PHP] pobierz, plaintext <?php if($tab['ip'] == $_SERVER['REMOTE_ADDR']) { echo('<table border="1" width="55%" bgcolor="#4E4E68" align="center"><tr><td width="50%">Dodal: '.stripslashes($tab['nick']).'</td><td width="50%">Dnia:'.$tab['data'].'</td></tr> <tr><td>'.stripslashes($tab['message']).'</td> <td><a href="?strona='.$strona.'&action=usun&id='.$tab['id'].'">usun</a></td> </tr> </table></form>'); } else { echo('<table border="1" width="55%" bgcolor="#4E4E68" align="center"><tr><td width="50%">Dodal: '.stripslashes($tab['nick']).'</td><td width="50%">Dnia:'.$tab['data'].'</td></tr> <tr><td>'.stripslashes($tab['message']).'</td></tr></table></form>'); } } ?> [PHP] pobierz, plaintext i teraz nie wiem zabardzo jak to zabezpieczyc mysle nad cookie, lecz jeszcze nie wiem co i jak myslalem na takimi dwoma rozwiazaniami: Gdy user dodaje posta i dane sie zapisuja do bazy to te same dane zapisac w cookie(jesli jest taka mozliwosc) + do tego wersje przegladarki ze nawet jak ktos sobie zmieni zawartosc cookie zeby edytowac inne wiadomosci to nie bedzie wiedzial wersji przegladarki user'a. Zrobic funckje losujaca jakas cyfre np z przedzialu od 1 do 1000 i zahashowac to i dodac do karzdej odpowiedzi zapisac to tez w cookie i sprawdzac czy sie zgadzaja?? Ale nie wiem czy sie one sprawdza czekam na jakies propozycje

Odpowiedzi

phpion Zobacz profil	22.12.2007, 18:42:21 Post #2
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza	Najlepiej zrób tak, że dodaj nowe pole do tabeli w bazie. Nazwij je np. "kod" i generuj tam jakiś ciąg znaków (np. md5(time().uniqid()) następnie do linków służących do usuwania dodawaj ten kod: [PHP] pobierz, plaintext <?php ... <td><a href="?strona='.$strona.'&action=usun&id='.$tab['id'].'&kod='.$tab['kod'].'">usun</a></td> ... ?> [PHP] pobierz, plaintext Następnie w kodzie usuwającym wpis daj: [PHP] pobierz, plaintext <?php $ask = ("delete from ksiega_gosci where id=".(int)$_GET['id']." AND kod=".$_GET['kod']); ?> [PHP] pobierz, plaintext I po sprawie. Znając tylko id można sobie polatać. Aby usunąć posta należy znać jego id oraz kod.