[MySQL][PHP] system newsow Opcje

[zomb]

Witam,
Piszę system newsów na swoja stronę, mam już dodawanie, wyświetlanie, edycje. Nie działa to jeszcze w 100% sprawnie. Link: http://91.121.10.107/busines/index.php
Po zalogowaniu jako admin mam pod każdym newsem przycisk Edytuj news. Jeżeli go nacisnę pokazują mi sie wszystkie newsy do edycji, oraz gdy coś edytuje to edytują się także wszystkie newsy.
Więc tutaj pytanie: jak zrobić aby było tak jak powinno? Nie będę śmiecił i wklejał tutaj wszystkie pliki, myślę że wiecie o co mi chodzi. Moje zapytania do bazy wyglądają tak:

[PHP] pobierz, plaintext 
mysql_query("UPDATE `news` SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' ;"); 
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
SELECT * FROM news
[PHP] pobierz, plaintext 

wiem że trzeba dodać w zapytaniu WHERE (przynajmniej tak mi się wydaje) ale niestety nie wiem co i jak. Proszę o pomoc, jeżeli będzie potrzeba dodam wszystkie pliki.

[potreb]

Pomaganie w kodzie nie oznacza, że ktoś ma ci dawać do wklejenia całego przerobionego kodu. Trochę własnej inwencji. Pokazuj to co do tej zrobiłeś. To, że podasz nam url nie oznacza, że wszystko jest dla nas wiadome.

I najważniejsze, mam dane administratora, preparuje formularz i mogę zrobić sql injection lub nawet przez zwykłego geta. Przydałoby się przynajmniej minimalnie zabezpieczyć przed takimi rzeczami.

[PHP] pobierz, plaintext 
 
if(isset($_POST['submit'])) {
$id=$_GET['id'];
$tytul = $_POST['tytul'];
$tresc = $_POST['tresc'];
$autor = $_POST['autor'];
 
 
 
mysql_query("UPDATE `news` SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' WHERE id='$id'"); 
}
[PHP] pobierz, plaintext 

Nie trzeba klamry :/ zauważ, że musisz mieć przynajmniej jakiś warunek dla edycji, bo edycja za każdym razem będzie się robiła, tyle że nie ma wartości, a parametr id przekazywałbym poprzez formularz i sprawdzałbym przy okazji czy jest to liczba.

Ten post edytował potreb 7.11.2009, 17:39:51