[MySQL][PHP] system newsow Opcje

[zomb]

Witam,
Piszę system newsów na swoja stronę, mam już dodawanie, wyświetlanie, edycje. Nie działa to jeszcze w 100% sprawnie. Link: http://91.121.10.107/busines/index.php
Po zalogowaniu jako admin mam pod każdym newsem przycisk Edytuj news. Jeżeli go nacisnę pokazują mi sie wszystkie newsy do edycji, oraz gdy coś edytuje to edytują się także wszystkie newsy.
Więc tutaj pytanie: jak zrobić aby było tak jak powinno? Nie będę śmiecił i wklejał tutaj wszystkie pliki, myślę że wiecie o co mi chodzi. Moje zapytania do bazy wyglądają tak:

[PHP] pobierz, plaintext 
mysql_query("UPDATE `news` SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' ;"); 
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
SELECT * FROM news
[PHP] pobierz, plaintext 

wiem że trzeba dodać w zapytaniu WHERE (przynajmniej tak mi się wydaje) ale niestety nie wiem co i jak. Proszę o pomoc, jeżeli będzie potrzeba dodam wszystkie pliki.

[Spawnm]

daj where id=$id gdzie $id to id edytowanego newsa

[zomb]

jak dodam WHERE `id` = '$id' to niestety ale po kliknieciu w edytuj nic sie nie pokazuje. Może jednak dam pliki:
news_pokaz.php:
http://wklej.org/hash/d4dac7d52a/
news_edytuj.php:
http://wklej.org/hash/ef78afbfbf/
news_edytuje.php:
http://wklej.org/hash/7fa3455610/

Wiem że jest to dość opornie zrobione ale jak na mój pierwszy system news myśle że dobrze.

[Blame]

Do news_pokaz.php dodajesz sobie w linijce 42:

[PHP] pobierz, plaintext 
if ($pokaz1['ranga'] == 'admin'){
$zapytanie = "SELECT * FROM news"; 
 
$wykonaj = @mysql_query ($zapytanie); 
 
while($pokaz = @mysql_fetch_array($wykonaj)){
 
echo '<a href="news_edytuj.php?id='.$pokaz['id].'" >Edytuj news</a>';}
 
}}
[PHP] pobierz, plaintext 

W news-edytuj.php 6 i 7 linijkę zmieniasz na:

[PHP] pobierz, plaintext 
$id=$_GET['id'];
$zapytanie = "SELECT * FROM news WHERE 'id'='$id'"; 
[PHP] pobierz, plaintext 

Powinno działać. Aha, i na twoim miejscu, scaliłbym news_edytuj i news_edytuje.

Ten post edytował Blame 7.11.2009, 11:10:34

[zomb]

dodane, lecz teraz pokazuje tylko 1 news oraz dalej nie pokazuje po naciśnięciu edytuj, admin testowy: test/test

[Blame]

Poprawione:

[PHP] pobierz, plaintext 
if ($pokaz1['ranga'] == 'admin'){
 
      $zapytanie = "SELECT * FROM news";
 
 
 
      $wykonaj = @mysql_query ($zapytanie);
 
 
 
      while($pokaz = @mysql_fetch_array($wykonaj)){
 
 
 
      echo '<a href="news_edytuj.php?id='.$pokaz['id'].'" >Edytuj news</a>';}
 
 
 
      }}}
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
      $id=$_GET['id'];
 
      $zapytanie = "SELECT * FROM news WHERE id='$id'"; 
[PHP] pobierz, plaintext 

Przepraszam za błąd, skrypt pisany na szybko.

Ten post edytował Blame 7.11.2009, 11:43:25

[zomb]

wiem, poprawiłem te błędy szybciej lecz dalej to samo
(link do strony http://91.121.10.107/busines login: test haslo: test )

[potreb]

W formaulrzu edycji do action należy także dodać ?id=$pokaz['id']

Popatrzyłem w źródło formularza i rzeczywiście nie przekazujesz dalej zmiennej id, to skąd skrypt ma wiedzieć co edytować.

Ten post edytował potreb 7.11.2009, 11:52:03

[zomb]

wiec co mam jeszcze dodać w pliku news_edytuj i w news_edytuje ?
po tych poprawkach w news_pokaz pokazuje tylko 1 news oraz kilka napisów edytuj news

[Blame]

A poprawiłeś kod tak jak podałem w poprzednim poście? Chodzi mi o jeszcze jedną klamrę na końcu. Specjalnie dla ciebie prze edytowałem plik news_edytuj.php teraz nie potrzebny ci już news_edytuje.php. Mam nadzieję że będzie działać. Oto on:

[PHP] pobierz, plaintext 
<?
session_start();
if(!empty($_SESSION['login'])){ 
 
include("config.php");
 
 
$id=$_GET['id'];
 
$zapytanie = "SELECT * FROM news WHERE 'id'='$id'";  
 
$wykonaj = @mysql_query ($zapytanie);
while($pokaz = @mysql_fetch_array($wykonaj)){
 
?>
<form action="news_edytuj.php?id=<?$id?>" method="post">
<table>
<tr>
	<td width="132"><b>id :</b></td>	
	<td width="139"><? echo $pokaz['id']; ?></td>
</tr>
<tr>
	<td><b>tytul :</b></td>	
	<td><input name="tytul" type="text" value="<? echo $pokaz['tytul']; ?>" /></td>
</tr>
<tr>
	<td><b>tresc :</b></td>	<td><input name="tresc" type="text" value="<? echo $pokaz['tresc']; ?>" /></td>
</tr>
<tr>
	<td><b>autor :</b></td>	<td><input name="autor" type="text" value="<? echo $pokaz['autor']; ?>" /></td>
</tr>
<tr>
	<td><b>data:</b></td>	<td><? echo $pokaz['data']; ?></td>
</tr>
 
<tr>
	<td></td>	
	<td>
	</td>
</tr>
</table>
<input type="submit" value="Zmien dane" />
</form>
 
<? 
}
 
}else{ header("location:index.php"); } 
 
$id=$_GET['id'];
$tytul = $_POST['tytul'];
$tresc = $_POST['tresc'];
$autor = $_POST['autor'];
 
 
 
mysql_query("UPDATE `news` SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' WHERE id='$id'"); 
 
}
 
?>
[PHP] pobierz, plaintext 

Ten post edytował Blame 7.11.2009, 12:53:58

[zomb]

tak, dodałem tą klamrę na końcu. Teraz nie potrzeba tej klamry w linii 59. Wgrałem to lecz niestety znowu nic się nie pokazuje:
http://91.121.10.107/busines/news_edytuj.php?id=9
oraz co z plikiem news_pokaz.php pokazuje się tylko 1 news i kilka przycisków Edytuj news.

[potreb]

Pomaganie w kodzie nie oznacza, że ktoś ma ci dawać do wklejenia całego przerobionego kodu. Trochę własnej inwencji. Pokazuj to co do tej zrobiłeś. To, że podasz nam url nie oznacza, że wszystko jest dla nas wiadome.

I najważniejsze, mam dane administratora, preparuje formularz i mogę zrobić sql injection lub nawet przez zwykłego geta. Przydałoby się przynajmniej minimalnie zabezpieczyć przed takimi rzeczami.

[PHP] pobierz, plaintext 
 
if(isset($_POST['submit'])) {
$id=$_GET['id'];
$tytul = $_POST['tytul'];
$tresc = $_POST['tresc'];
$autor = $_POST['autor'];
 
 
 
mysql_query("UPDATE `news` SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' WHERE id='$id'"); 
}
[PHP] pobierz, plaintext 

Nie trzeba klamry :/ zauważ, że musisz mieć przynajmniej jakiś warunek dla edycji, bo edycja za każdym razem będzie się robiła, tyle że nie ma wartości, a parametr id przekazywałbym poprzez formularz i sprawdzałbym przy okazji czy jest to liczba.

Ten post edytował potreb 7.11.2009, 17:39:51

[zomb]

zapomniałem dodać ale to chyba jest jasne że jestem początkujący ... może mi powiecie jak to zabezpieczyć? Naniosłem kilka poprawek w tym co mi podaliście typu 'id='$id' na id=.. i pokazywanie newsów działa już prawidłowo. Gdy kliknę Edytuj news pojawia mi się formularz lecz gdy zatwierdzę zmiany dane się nie zmieniają ;/ oto news_edytuj.php:

[PHP] pobierz, plaintext 
<?php
include("config.php");
 
 
$id=$_GET['id'];
 
$zapytanie = "SELECT * FROM news WHERE id='$id'";  
 
$wykonaj = @mysql_query ($zapytanie);
while($pokaz = @mysql_fetch_array($wykonaj)){
 
?>
<form action="news_edytuj.php?id=<?$id?>" method="post">
<table>
<tr>
	<td width="132"><b>id :</b></td>	
	<td width="139"><? echo $pokaz['id']; ?></td>
</tr>
<tr>
	<td><b>tytul :</b></td>	
	<td><input name="tytul" type="text" value="<? echo $pokaz['tytul']; ?>" /></td>
</tr>
<tr>
	<td><b>tresc :</b></td>	<td><input name="tresc" type="text" value="<? echo $pokaz['tresc']; ?>" /></td>
</tr>
<tr>
	<td><b>autor :</b></td>	<td><input name="autor" type="text" value="<? echo $pokaz['autor']; ?>" /></td>
</tr>
<tr>
	<td><b>data:</b></td>	<td><? echo $pokaz['data']; ?></td>
</tr>
 
<tr>
	<td></td>	
	<td>
	</td>
</tr>
</table>
<input type="submit" value="Zmien dane" />
</form>
 
<? 
}
 
if(isset($_POST['submit'])) {
$id=$_GET['id'];
$tytul = $_POST['tytul'];
$tresc = $_POST['tresc'];
$autor = $_POST['autor'];
 
 
 
mysql_query("UPDATE news SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' WHERE id='$id'"); 
}
 
 
 
?>
[PHP] pobierz, plaintext 

[potreb]

[HTML] pobierz, plaintext 
<input type="submit" name="submit" value="Zmien dane" />
[HTML] pobierz, plaintext 

Warunek isset($_POST['submit']) sprawdza czy jest taka tablica, więc trzeba było dodać do submit name="submit".

Zamień mysql_query("UPDATE ... poniższym kodem.

[PHP] pobierz, plaintext 
$sql = "UPDATE news SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' WHERE id='". $id."' ";
echo $sql; // wyświetlę sobie zmienną $sql i wtedy zobaczę czy zapytanie jest okey
mysql_query($sql);
echo mysql_error(); // w razie wystąpienia błędu dostanę info o błędzie
[PHP] pobierz, plaintext 

Przy okazji sprawdzę czy id jest liczbą:

[PHP] pobierz, plaintext 
if(isset($_POST['submit']) && ctype_digit($_GET['id'])) {
[PHP] pobierz, plaintext 

Przy okazji pousuwaj wszystkie małpy z przed funkcji.

Co to?? Skrótowy zapis?? Raczej nie.

[HTML] pobierz, plaintext 
<form action="news_edytuj.php?id=<?$id?>" method="post">
[HTML] pobierz, plaintext 

Raczej tak

[HTML] pobierz, plaintext 
<form action="news_edytuj.php?id=<?php echo $id; ?>" method="post">
[HTML] pobierz, plaintext 

Zrób o to co cię prosiłem i napisz o efektach.

Ten post edytował potreb 7.11.2009, 20:15:49

[zomb]

UPDATE news SET `tytul` = '00000', `tresc` = '00000', `autor` = '00000' WHERE id='9'

W końcu wszystko działa jak należy ) dzięki wielkie. Mógłbyś mi jeszcze powiedzieć jak to zabezpieczyć ?

[Blame]

Poczytaj trochę o mysql_real_escape_string, addslashes i htmlspecialchars. Dodam tylko tyle, że musisz nimi potraktować wszystkie dane które użytkownik wpisuje do formularza.

Ten post edytował Blame 7.11.2009, 20:33:30

[zomb]

ok, wiem o co z tym chodzi, w najbliższym czasie poprawię to. Teraz skrypt wygląda tak:

[PHP] pobierz, plaintext 
<?php
include("config.php");
 
 
$id=$_GET['id'];
 
$zapytanie = "SELECT * FROM news WHERE id='$id'";  
 
$wykonaj = @mysql_query ($zapytanie);
while($pokaz = @mysql_fetch_array($wykonaj)){
 
?>
<form action="news_edytuj.php?id=<?php echo $id; ?>" method="post">
<table>
<tr>
	<td width="132"><b>id :</b></td>	
	<td width="139"><? echo $pokaz['id']; ?></td>
</tr>
<tr>
	<td><b>tytul :</b></td>	
	<td><input name="tytul" type="text" value="<? echo $pokaz['tytul']; ?>" /></td>
</tr>
<tr>
	<td><b>tresc :</b></td>	<td><input name="tresc" type="text" value="<? echo $pokaz['tresc']; ?>" /></td>
</tr>
<tr>
	<td><b>autor :</b></td>	<td><input name="autor" type="text" value="<? echo $pokaz['autor']; ?>" /></td>
</tr>
<tr>
	<td><b>data:</b></td>	<td><? echo $pokaz['data']; ?></td>
</tr>
 
<tr>
	<td></td>	
	<td>
	</td>
</tr>
</table>
<input type="submit" name="submit" value="Zmien dane" />
</form>
 
<? 
}
 
if (isset($_POST['submit']) && ctype_digit($_GET['id'])) {
$id=$_GET['id'];
$tytul = $_POST['tytul'];
$tresc = $_POST['tresc'];
$autor = $_POST['autor'];
 
$sql = "UPDATE news SET `tytul` = '$tytul', `tresc` = '$tresc', `autor` = '$autor' WHERE id='". $id."' ";
mysql_query($sql) or die("Wystąpił błąd" );
 
echo '<font style="size:14px;position:relative;margin:0px auto;top:300px;"><center><b>Dane zostały zmienione.</b> <br /> Zachwile zostaniesz przekierowany na strone główną.<br />Jeżeli sie to sie stanie kliknij <a href="index.php">tutaj</a>.</font></center><meta http-equiv="refresh" content="4; URL=index.php"> ';
 
}
?>
[PHP] pobierz, plaintext 

teraz mam jeszcze jedno pytanie: jak dodać edycję tylko dla admina, bo każdy może sobie wejść i edytować to. Gdy dodaje do kodu " if ($pokaz['ranga'] == 'admin'){ " niestety znowu ale tylko białe tło ;/

[thek]

A od kiedy to w informacji o newsach wciskasz typ użytkownika?
$pokaz['ranga'] == 'admin' nie ma prawa działać, bo $pokaz przechowuje informacje o newsie, która to zmienna jest efektem zapytania: "SELECT * FROM news WHERE id='$id'"
Jak Tyś tam rangę wcisnął to nie wiem
Musisz informację o użytkowniku wyciągnąć z bazy w locie, albo pobrać jego uprawnienia z sesji. Dopiero na tej podstawie decydujesz czy user ma prawo edytować czy nie.

Ten post edytował thek 7.11.2009, 22:11:53

[zomb]

ok, fakt, nie zauważyłem.
Jeszcze jedno pytanie: jak "odwrócić" kolejność pokazywania newsów. Chodzi o to, że jak dodam teraz jakiś news to pokazuje on się "na dole" a nie "na górze".
Czekam na pomoc

[Blame]

Przy $zapytanie dajesz:

[PHP] pobierz, plaintext 
$zapytanie = "SELECT * FROM news WHERE id='$id' ORDER BY id desc";
[PHP] pobierz, plaintext 

Ten post edytował Blame 11.11.2009, 10:59:29