[php] ukrywanie danych w linku Opcje

[pijanyadmin]

obecnie rekord z bazy jest zamieniany na link i w przegladarce wygląda to tak:

Kod

panel.php?gog=poczta&wiad=odczyt&antylopa&id=52

czyli, autor wiadomość "antylopa" id wiadomość w bazie to "52"

odczyt wiadomość wygląda tak:

[PHP] pobierz, plaintext 
<?php
session_start();
require("connect.php");
 
$login = $_SESSION['id'];
 
$quer = mysql_query("SELECT * FROM `wiadomosci` WHERE `do_kogo` = '$login' ORDER BY `id` DESC");
?>
 
 
<?php
while ($wiersz = mysql_fetch_array($quer)) 
{
$i++;
$class = ($i%2==1) ? "red" : "czarny";
echo '<div class="'. $class .'";>';
echo '<div class="pok"><a href="panel.php?gog=poczta&wiad=odczyt&'.$wiersz[od_kogo].'&id='.$wiersz[id].'">'.$wiersz[od_kogo].'</a></div>';
echo '<div class="pok2"> | <a href="npanel.php?gog=poczta&pocz=kasuj&id='.$wiersz[id].'">usuń</a></div>';
echo '<div class="pok2"> | '.$wiersz[time].'</div>';
echo '<div class="pok2">'.$wiersz[temat].'</div>';
echo '</div>';
}
 
?>
[PHP] pobierz, plaintext 

po kliknieciu w link który jest już odpowiednio zamieniony następuje przekierowanie do odczytu danej wiadomość

[PHP] pobierz, plaintext 
<?php
session_start();
require("connect.php");
 
$q = mysql_fetch_array(mysql_query("SELECT * FROM `wiadomosci` WHERE `id` = ".$_GET['id']." LIMIT 0,1"));
 
 
echo 'Od: <b>'.$q[od_kogo].'</b> Nadana:<b>'.$q[time].'</b><br />';
echo 'Temat: <b>'.$q[temat].'</b><br />';
echo ''.$q[wiadomosc].'';
echo '<a href="panel.php?gog=poczta&wiad=odpowiedz'.$_SESSION[od_kogo].'"><br />Odpowiedz NA WIADOMOSC</a>';
 
 
?>
[PHP] pobierz, plaintext 

tylko teraz jak to zabezpieczyć odpowiednio aby w adresie przegladarki podczas odczytywania wiadomosc nie było ani informacji o nadawcy ani o ID wiadomosci. Próbowałem to dać "od_kogo" do sesji... ale jak dodać do niej ID wiadomość? czy są jakieś inne sposoby na to?

Ten post edytował pijanyadmin 3.02.2008, 02:42:02

[nowotny]

To u mnie działa... na samym początku podałeś inne nazwy kolumn i w ogóle inną tabele... :/ a potem ja i tak postawiłem w złym miejscu unseta... (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[PHP] pobierz, plaintext 
<?php
session_start();
$quer = mysql_query("SELECT * FROM `mail` WHERE `odbiorca` = '$login' ORDER BY `id_mail` DESC");
 
unset($_SESSION['wiersze']);
while ($wiersz = mysql_fetch_array($quer)) 
{
	$i++;
	$class = ($i%2==1) ? "red" : "czarny";
	echo '<div class="'. $class .'";>';
 
 
	$_SESSION['wiersze'][$i]['id_wiad']=$wiersz['id_mail'];
	$_SESSION['wiersze'][$i]['od_kogo']=$wiersz['nadawca'];
 
	echo '<div class="pok"><a href="?gog=mail&wiad=odczyt&num='.$i.'">'.$wiersz['nadawca'].'</a></div>';
	echo '<div class="pok2"> | <a href="?gog=mail&mg=kasuj&num='.$i.'">usuń</a></div>';
	echo '<div class="pok2"> | '.$wiersz['time'].'</div>';
	echo '<div class="pok2">'.$wiersz['temat'].'</div>';
	echo '</div>';
}
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
session_start();
$num=$_GET['num'];
$ids=$_SESSION['wiersze'][$num]['id_wiad'];
$od_kogo=$_SESSION['wiersze'][$num]['od_kogo'];
 
$q = mysql_fetch_array(mysql_query("SELECT * FROM `mail` WHERE `id_mail` = ".$ids." LIMIT 0,1"));
 
echo 'Od: <b>'.$q[nadawca].'</b> Nadana:<b>'.$q['time'].'</b><br />';
echo 'Temat: <b>'.$q['temat'].'</b><br />';
echo ''.$q['wiadomosc'];
?>
[PHP] pobierz, plaintext 

Z resztą, nie rozumiem po jakiego grzyba pierwotnie przesyłałeś nazwę użytkownika w URLu... jak masz id to resztę możesz sobie wyciągnąć z bazy... dodatkowo to dosyć niebezpieczne rozwiązanie...

Aaa, i przy okazji: datę do bazy polecam sobie zapisywać w postaci uniksowego timestampa albo w tym Mysqlowym formacie... to co teraz masz bedzie bardzo trudno obrabiać...

Ten post edytował nowotny 4.02.2008, 11:51:05

[pijanyadmin]

Z resztą, nie rozumiem po jakiego grzyba pierwotnie przesyłałeś nazwę użytkownika w URLu... jak masz id to resztę możesz sobie wyciągnąć z bazy... dodatkowo to dosyć niebezpieczne rozwiązanie...

Z prostego powodu, mam problem ze zmianą sesji aby na podstawie id, były odczytywana reszta danych, teraz jest tak:

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['user']) && isset($_POST['pass'])) {
	$login = htmlspecialchars($_POST['user']);
	$haslo = md5(htmlspecialchars($_POST['pass']));
	$q = mysql_query("SELECT * FROM userdata WHERE haslo = '$haslo' AND login = '$login' LIMIT 1"); 
					if(!mysql_num_rows($q)) {
		echo 'Niepoprawne Login lub Hasło'; exit;
		return 0;
	}
 
	$_SESSION['logon'] = 1;
	$_SESSION['login'] = $_POST['user'];
	$_SESSION['password'] = $_POST['pass'];
	$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
 
	return 1;
	}
 if(!isset($_SESSION['logon']) || !isset($_SESSION['login']) || !isset($_SESSION['password']) || !isset($_SESSION['ip'])) {
					//	echo "3";
	return 0;
	}
		$login = $_SESSION['login'];
	$password = $_SESSION['password'];
	$ip = $_SESSION['ip'];
 
	if($_SERVER['REMOTE_ADDR'] != $ip) {
				//	echo "4";
	return 0;
	}
 
 
 if($_SESSION['logon'] == "1") { 
		   return 1;
	} 
	else {
	return 0;
	}
?>
[PHP] pobierz, plaintext 

czyli odebranie danych z formularza, porównanie loginu i hasła z bazą, oraz przekierowanie do odpowiedniej storny gdzie:

[PHP] pobierz, plaintext 
<?php
session_start();
require_once("functions.php");
require_once("connect.php");
 
if(!logon()) {
	resetsession();
	movetosite('index.php?sdd=logowanie');
	exit();
}
 
 
$login = $_SESSION['login'];
 
$query = mysql_query("SELECT * FROM userdata WHERE login = '$login'");
$dane = mysql_fetch_array($query);
$login = $dane[login];
$email = $dane[email];
?>
[PHP] pobierz, plaintext 

czyli na postawie loginu z sesji, porównanie go z bazą i odpowiednio przypisane dane do tego, w razie jakieś błedu/braku sesji przekierowanie do odpowieneij strony, w tym przypadku "'index.php?sdd=logowanie"

i poprostu nie wiem jak zamienic 

Kod

$login = $_SESSION['login'];

na

Kod

$ld = $_SESSION['id'];

a potem odczytać to jako

Kod

$query = mysql_query("SELECT * FROM userdata WHERE id = '$id'");