[PHP][MYSQL] Problem z if Opcje

[Manifested01]

Więc tak zrobiłem taki mały system głosowania: ktos wchodzi na link ktory dostał w emailu i wtedy dodaje się głos do kolumny licznik. Wszystko by było ok gdyby nie to że przy odswiezeniu dodaje się następny głos co się troche mija z celem:P
Dodałem więc kolumne user_activated default 0. Chodzi mi o to że musze napisac małą funkcje if ze jezeli user_activated == 0 to executuje skrypt a jak 1 to jest die . Napisałem coś takiego ale nie mam pojecia czemu za kazdym razem wyświetla mi się że "twój głos był już aktywowany" dla rekordów które mają 0 na 100% z góry dziękuje za pomoc. A tutaj kod:

[PHP] pobierz, plaintext 
<?php
include ('lib/dbc.php');
$result = mysql_query("SELECT user_activated FROM Glosy WHERE emailglos='{$_GET[usr]}'");
 
if (!isset($_GET['usr']) && !isset($_GET['code']) && !isset($_GET['id']) )
 
$msg = &#092;"ERROR: Invalid code...\";
 
if(mysql_num_rows($result) ==1)
{
die (&#092;"Twój głos był już aktywowany.\");
}
 
else
exit();
 
$rsCode = mysql_query(&#092;"SELECT activation_code from Glosy where emailglos='$_GET[usr]'\") or die(mysql_error());
 
list($acode) = mysql_fetch_array($rsCode);
 
if ($_GET['code'] == $acode)
{
 
mysql_query(&#092;"update petycje set licznik =licznik+1 where id='$_GET[id]'\") or die(mysql_error());
 
mysql_query(&#092;"update Glosy set user_activated=1 where emailglos='$_GET[usr]'\") or die(mysql_error());
 
 
 
echo &#092;"
[b]Dziękujemy [/b]
Twoje głos zostało aktywowany. &#092;";
} else
{ echo &#092;"Niepoprawny kod\"; }
 
 
?>
[PHP] pobierz, plaintext 

Ten post edytował Manifested01 28.02.2009, 11:11:50

[Spawnm]

user_activated = 0
szukasz usera który ma jeszzce zapisane 0 tak więc przy num_rows dostaniesz 1 ;]
a u ciebie wtedy leci block zamiast programu, daj odwrotnie.

[Manifested01]

Nie jestem pewny ale jednak bede chyba obstawiał przy swoim:
to nie jest szukanie tylko test

jeśli user ma 0 (default) to znaczy ze pierwszy raz wchodzi na tą strone
i dodaje się +1 do licznika i jego pole user_activated sie updatuje do 1

a jesli ma już 1 to poprostu ma się wyświetlić "Już aktywowałeś swój głos"

[nexis]

Zrobiłbym to na dwóch tabelach o następującej budowie:

Kod

++++++++++++++++++++++++
+      invitation      +
++++++++++++++++++++++++
+ email + vARCHAR(128) +
+ code  + VARCHAR(32)  +
++++++++++++++++++++++++

++++++++++++++++++++++++
+         vote         +
++++++++++++++++++++++++
+ email + VARCHAR(128) +
++++++++++++++++++++++++

oraz poniższym kodzie:

[PHP] pobierz, plaintext 
<?php
// Sprawdzenie danych na wejściu
if (!isset($_GET['email'], $_GET['code']) {
   exit('Niepoprawny e-mail lub kod!');
}
// Sprawdzenie zgodności
$query  = sprintf("SELECT COUNT(*) FROM `invitation` WHERE `email` = '%s' AND code = '%s'",
                  mysql_real_escape_string($_GET['email']),
                  mysql_real_escape_string($_GET['code']));
$result = mysql_query($query);
$row    = mysql_fetch_array($result, MYSQL_NUM);
if (1 != $row[0]) {
   exit('Nie możesz oddać głosu!');
}
// Oddanie głosu
$query = sprintf("INSERT INTO `vote` (`email`) VALUES ('%s')",
                 mysql_real_escape_string($_GET['email']));
if (!mysql_query($query)) {
   exit('Wystąpił błąd podczas oddawania głosu!');
}
// Usunięcie zaproszenia
$query  = sprintf("DELETE FROM `invitation` WHERE `email` = '%s' AND code = '%s'",
                  mysql_real_escape_string($_GET['email']),
                  mysql_real_escape_string($_GET['code']));
mysql_query($query);
echo 'Dziękujemy za oddanie głosu!';
?>
[PHP] pobierz, plaintext 

[Manifested01]

dzięki nexis ale moja strona juz funkcjonuje i przenoszenie rekordów i generalnie struktury tabel kosztowało by mnie za dużo pracy
wolałbym więc edytować ten mój kod mysle ze to kwestia } albo jakiegos glupie błędu

[PanGuzol]

funkcja mysql_num_rows() zwraca Ci ilość pobranych rekordów a nie wartość pola user_activated.
Jeśli chcesz użyć tej funkcji to musisz dodać w zapytaniu SQL warunek WHERE user_activated=1
lub jeśli chcesz zostawić takie zapytanie odczytać wartość zwróconego rekordu funkcjami mysql_fetch_

[Manifested01]

czyli teraz ma byc tak ze jezeli result = 1
to die
a jak nie to executuje reszte skryptu

[PHP] pobierz, plaintext 
<?php
include ('lib/dbc.php');
$result = mysql_query(&#092;"SELECT user_activated FROM Glosy WHERE emailglos='{$_GET[usr]}'\") or die(mysql_error());
 
if (!isset($_GET['usr']) && !isset($_GET['code']) && !isset($_GET['id']) )
 
 
 $msg = &#092;"ERROR: Invalid code...\";
 
if (mysql_fetch_array($result) == 1)
{
die(mysql_error());
 
} else {
 
 
$rsCode = mysql_query(&#092;"SELECT activation_code from Glosy where emailglos='$_GET[usr]'\") or die(mysql_error());
 
list($acode) = mysql_fetch_array($rsCode);
 
if ($_GET['code'] == $acode)
{
 
mysql_query(&#092;"update petycje set licznik =licznik+1 where id='$_GET[id]'\") or die(mysql_error());
 
mysql_query(&#092;"update Glosy set user_activated=1 where emailglos='$_GET[usr]'\") or die(mysql_error());
 
 
 
 
echo &#092;"
[b]Dziękujemy [/b]
Twój głos został aktywowany. &#092;";
} else
{ echo &#092;"Niepoprawny kod lub Twój głos był już aktywowany. \";
 
 
 
 }
 
  exit();
?>
[PHP] pobierz, plaintext 

i błąd Parse error: syntax error, unexpected $end in /home/users/sobolczyk_moja/www/w/activatevote.php on line 70




Ten post edytował Manifested01 28.02.2009, 13:41:22

[PanGuzol]

Brakuje Ci jednego nawiasu }

mysql_fetch_array zwróci Ci tablicę

array( 0 => wartość, 'user_activated' => wartość)

więc nie wystarczy porównać wyniku zwróconego przez tą funkcje, musisz jeszcze odwołać się do któregoś z elementów zwróconej tablicy.

Ten post edytował PanGuzol 28.02.2009, 13:55:48

[Manifested01]

nie mam pojecia co z tym zrobic przeczytalem o mysql fetch array ale nic mi to nie dało...

[PHP] pobierz, plaintext 
<?php
include ('lib/dbc.php');
 
if (!isset($_GET['usr']) && !isset($_GET['code']) && !isset($_GET['id']) )
 
 
 $msg = "ERROR: Invalid code...";
 
$query  = mysql_query("SELECT user_activated FROM Glosy WHERE emailglos='{$_GET[usr]}'") or die(mysql_error());
$result = mysql_fetch_array($query);
if ($result == 1) {
 exit('Nie możesz oddać głosu!');
} else {
 
}
 
 
$rsCode = mysql_query("SELECT activation_code from Glosy where emailglos='$_GET[usr]'") or die(mysql_error());
 
list($acode) = mysql_fetch_array($rsCode);
 
if ($_GET['code'] == $acode)
{
 
mysql_query("update petycje set licznik =licznik+1 where id='$_GET[id]'") or die(mysql_error());
 
mysql_query("update Glosy set user_activated=1 where emailglos='$_GET[usr]'") or die(mysql_error());
 
 
 
 
echo "<h3>Dziękujemy </h3>Twój głos został aktywowany. </a>";
} else
{ echo "Niepoprawny kod lub Twój głos był już aktywowany. ";
 
 
 
 }
 
  exit();
?>
[PHP] pobierz, plaintext 

teraz po odswieżeniu sie dodaje kolejny głos...

[PanGuzol]

[PHP] pobierz, plaintext 
<?php
if($result[0] == 1)
?>
[PHP] pobierz, plaintext 

lub

[PHP] pobierz, plaintext 
<?php
if($result['user_activated'] == 1)
?>
[PHP] pobierz, plaintext 

[Manifested01]

dzięki bardzo już działa 1 opcja zadziałała

ale teraz mam jeszcze jeden problem:

w tej funkcji chodzi o to że jesli email był już dodany do bazy to nie mozna oddac głosu w ogóle
a ja bym chciał zrobić cos takiego że email moze sie powtarzać ale do róznych głosowań
czyli powinno być cośtakiego czyli

email: cos@o2.pl id:7
email: cos@o2.pl id:7 takie cos 2 razy nie moze byc ale np

email: cos@o2.pl id:7
email: cos@o2.pl id:3 takie coś moze byc

where emailglos='$_POST[emailglos]' and idglos='$_POST[id]'

[PHP] pobierz, plaintext 
<?php
$rs_duplicates = mysql_query("select emailglos from Glosy where emailglos='$_POST[emailglos]'");
    $duplicates = mysql_num_rows($rs_duplicates);
    
    if ($duplicates > 0)
    {    
    //die ("ERROR: User account already exists.");
    echo "Już oddałes głos z tego emaila.";
    exit();
    }
?>
[PHP] pobierz, plaintext 

[PanGuzol]

Podałeś dobry warunek ale w kodzie go nie zastosowałeś, użyłeś tylko jednego warunku z dwóch.

PS: poczytaj sobie o SQL Injection

[Manifested01]

heh no ok ale możesz mi powiedzieć jak w takim razie użyć drugiego ?

i czy zrobiłem jakis konkretny kod z sql injection?

[PanGuzol]

Dokładnie tak jak napisałeś

[SQL] pobierz, plaintext 
WHERE emailglos='$_POST[emailglos]' AND idglos='$_POST[id]'
[SQL] pobierz, plaintext 

Wrzucasz do zapytania wartości przesłane przez użytkownika bez sprawdzenia ich, czyli twój kod jest podatny na atak SQL Injection.

[Manifested01]

ok a skoro to jest dział Przedszole
możesz mi powiedzieć jak je "sprawdzić" ?

[piotrooo89]

filtracja danych mysql_real_escape_string

[Manifested01]

dobra przeczytałem ten artykul w manualu ale nie umiem zaadaptować tego w moim skrypcie
probowalem pare razy wszystko konczylo sie błędami ale nie bede pokazywal kodu bo na 120% zrobilem cos maksymalnie głupiego
więc jesli ktos byłby tak miły i mi to zedytował to bede umiał na przyszłosc i na pewno ktos z tego skorzysta jeszcze...

[piotrooo89]

[PHP] pobierz, plaintext 
<?php
$result = mysql_query("SELECT user_activated FROM Glosy WHERE emailglos='{$_GET[usr]}'");
 
$rsCode = mysql_query("SELECT activation_code from Glosy where emailglos='$_GET[usr]'") or die(mysql_error());
 
mysql_query("update petycje set licznik =licznik+1 where id='$_GET[id]'") or die(mysql_error());
 
mysql_query("update Glosy set user_activated=1 where emailglos='$_GET[usr]'") or die(mysql_error());
?>
[PHP] pobierz, plaintext 

w tych wszystkich miejscach pobierasz coś z tablicy super globalnej GET. filtruj tak (jest to mój sposób).

[PHP] pobierz, plaintext 
<?php
$usr = mysql_real_escape_string($_GET['usr']);
$id = mysql_real_escape_string($_GET['id']);
$result = mysql_query("SELECT user_activated FROM Glosy WHERE emailglos='".$usr."'");
 
$rsCode = mysql_query("SELECT activation_code from Glosy where emailglos='".$usr."'") or die(mysql_error());
 
mysql_query("update petycje set licznik =licznik+1 where id='".$id."'") or die(mysql_error());
 
mysql_query("update Glosy set user_activated=1 where emailglos='".$usr."'") or die(mysql_error());
?>
[PHP] pobierz, plaintext