Includowanie plików i przekazywanie wartości Opcje

[elwierka]

Piszę aplikację i w miarę dodawania nowych funkcji, zauważyłam pewien problem.
Do tej pory poruszanie się po stronie było możliwe dzięki linkom typu: www.adresstrony.pl/?a=costam

Za pomocą metody GET przekazywałam wartość i w zależności od niej, includowane są do strony różne pliki,
np:

[PHP] pobierz, plaintext 
if(!empty($_GET)){
switch($opcja) {
  case($opcja == $_GET['a']):
                 if($_GET['a'] == 'zaloguj'){
                 	   naglowek_logow('');
	                   wyswietl_zawartosc_www();
	                   wyswietl_form_logow();
	                   stopka_logow();	
		           exit();
		 } elseif($_GET['a'] == 'wyloguj') {
			require_once('./wyloguj.php');
                        exit();
                 } elseif($_GET['a'] == 'przypomnij'){
                    require_once('./form_zapomHaslo.php');
                    exit();
                 } else {
                     echo '<h1>Błąd!</h1>Zły adres strony!';
                }
  break;
case($opcja == $_GET['c']):
              if($_GET['c']=='home'){
                require_once( './zaloguj.php');
                exit;
              } elseif($_GET['c']=='opcje'){
                require_once('./admin/opcje.php');
                exit;
              } elseif($_GET['c']=='zmienHaslo'){
                require_once('./admin/form_zmianyhasla.php');
                exit;
              } elseif($_GET['c']=='raporty'){
                require_once('./admin/raporty.php');
                exit;
              } else {
              echo '<h1>Plik nie istnieje!</h1><br />';
              exit;
              }
  break;
 default: echo 'Błąd. Strona nie istnieje.';
}
 
...
[PHP] pobierz, plaintext 

Powiedzmy, że chcę usunąć z bazy danych informacje o produkcie o id = x...
Niech skrypt do usuwania danych o produkcie jest dostepny pod linkiem www.mojastrona.pl/?d=usunProdukt (metodą GET pobierana jest wartość d=usunProdukt i dołączany jest plik obsługujący skrypt)...chcę też, żeby ten plik za pomocą metody GET pobierał również parametr id produktu, który ma usunąć
Przykładowo, klikam link o postaci www.mojastrona.pl/?d=usunProdukt&id=9

I tu właśnie pojawia się problem....

Skrypt działa i wykonuje polecenie poprawnie, ale :
1. chcę, żeby skrypt nie obsługiwał wartości wpisanych w adresie przeglądarki, a tylko wartości przekazane wcześniej metodą GET
2. Gdyby jednak nie udało się spełnić założenia 1, to chcę, aby skrypt rozpoznawał, czy istnieje produkt o podanym id i jeśli w adresie www.mojastrona.pl/?d=usunProdukt&id=9 będzie nieprawidłowy id, to pokaże komunikat, że jest zły adres lub nie ma produktu o takim id i nie można uruchomić usuwania produktu.
3. jaki warunek powinnam napisać, żeby sprawdzał czy jest wpisany prawidłowy adres www i wybierał odpowiednią opcję?
czy:

[PHP] pobierz, plaintext 
 if($_GET['d'] == 'usunProdukt'){
                 	//to wywołaj skrypt	
		           exit();
		 } 
[PHP] pobierz, plaintext 

czy może

[PHP] pobierz, plaintext 
 if($_GET['d'] == 'usunProdukt' && $_GET['id']){
                 	//to wywołaj skrypt	
		           exit();
		 } 
[PHP] pobierz, plaintext 

Zależy mi też na tym, żeby nawet po ręcznej zmianie wartości zmiennych w adresie www, skrypt nie wykonywał żadnych poleceń, tylko wywalał od razu błąd (zeby było zabezpieczone przed czymś takim, jak np. zmiana wartości zmiennych lub ich nazw
www.mojastrona.pl/?d=usunProdukt&zmienna=XXX
)

Chcę oczywiście uwzględnić fakt, że skrypt jest uruchamiany dopiero po sprawdzeniu, czy istnieje sesja zalogowanego użytkownika i czy użytkownik ten jest administratorem systemu.

Czy ewentualnie nie będzie problemu, jesli jednocześnie w skrypcie użyję metody i GET i POST, np. do linków GET, do wysyłania danych POST?

[Tomplus]

możesz wykorzystać formularze ale również wykorzystać sesję, czyli

[PHP] pobierz, plaintext 
 if($_GET['d'] == 'usunProdukt' && $_SESSION['id']){
                 	//to wywołaj skrypt	
		           exit();
		 }
[PHP] pobierz, plaintext 

tylko wcześniej będziesz musiał umieścić w kodzie:

[PHP] pobierz, plaintext 
session_start();
if (isset($_GET['id'])) $_SESSION['id'] = $_GET['id'];
[PHP] pobierz, plaintext 

[Blame]

1. chcę, żeby skrypt nie obsługiwał wartości wpisanych w adresie przeglądarki, a tylko wartości przekazane wcześniej metodą GET

Tablica superglobalna $_GET zawiera właśnie wartości wpisane do okna przeglądarki, żadne inne.

Z całości twojego tekstu zrozumiałem, że chcesz się ustrzec od tego aby nikt niepożądany nie namieszał ci w bazie. Od razu mówię, że udostępnianie tego wszystkim, tak jak chcesz to zrobić, to czysta głupota. Najpierw trzeba pomyśleć o jakimś logowaniu na administratora opartego na sesje. Potem jeśli istnieje odpowiednia sesja pozwalasz na użytkownikowi na używanie skryptu, ew. zabezpieczasz się przed SQL Injection sprawdzając na przykład czy id podane w adresie jest liczbą. Nie trzeba aż tak kombinować

Ten post edytował Blame 9.09.2010, 14:49:32

[elwierka]

Jest logowanie do systemu i tylko administrator systemu ma dostęp panelu administracyjnego. W sumie powinno starczyć, ale tak na wszelki wypadek chcę, żeby nie można było sobie wprowadzić jakichś tam danych w pasku adresu, z palca, tylko zeby zmienne i wartości były przekazywane metodą GET do adresu tylko przez skrypt....czy da sie to jakoś zrobić?

[Blame]

Nie. Przecież mówiłem, że $_GET posiada parametry wprowadzone z paska adresowego. I IMHO zabezpieczanie skryptu przed administratorem strony można w twoim wypadku ograniczyć do zabezpieczenia przed SQL Injection tak jak napisałem wcześniej.

[elwierka]

OK rozumiem...w takim razie drążę temat dalej...Nie jestem tylko pewna, czy mogę w tym wątku...

utknęłam na pewnym etapie....
Pod adresem strony www.mojastrona.pl/?d=grupyTowarow znajduje się lista nazw wszystkich grup towarowych...(do pliku index.php includowany jest plik gt.php, który odpowiada za wyświetlanie listy grup towarowych).

Teraz chcę zrobić stronicowanie wyników ... wg książki którą się wspomagam, numery stron itd...przekazuję też metodą GET - ale już tu skrypt nie chce działać.
Nie wiem co zmienić, czy w ogóle dobrze zrobiłam, ze zdecydowałam się na poruszanie się po stronie za pomocą adresów ze zmiennymi GET, czy lepiej było zostawić adres w postaci normalnej...www.mojastrona.pl/strona1.php... itd....?

Oto mój kod - includowany plik - "gt.php"

[PHP] pobierz, plaintext 
$tab_gt = wyswietl_wszGt();
 GTwyswietl($tab_gt);
[PHP] pobierz, plaintext 

oraz funkcje:

[PHP] pobierz, plaintext 
function wyswietl_wszGt(){
     $lacz = con_to_db();
     $display = 5;
     // wyznaczenie numeru i liczby stron
     if(isset($_GET['nrStr'])){      //gdy ustalona
        $nr_strony = $_GET['nrStr'];
     }  else {   //ustalamy
        //zliczamy rekordy
        $zapytanie = "SELECT COUNT(*) as ile FROM grupa_towarow";
        $wynik = $lacz->query($zapytanie);
        $rzad = $wynik->fetch_object();
        $ilosc = $rzad->ile;
        echo 'Wyników na stronie: <b>' . $ilosc . '</b><br />';
 
        //wyznaczanie liczby stron
        if($ilosc > $display){  //jeśli ilość jest większa niż wartość $display to wyświetla ilość stron
          $nr_strony = ceil($ilosc/$display); // funkcja ceil zaokrągla wynik dzielenia do całkowitej wyższej liczby
        } else {
        //w przeciwnym wypadku - jeśli jest mniejsza, to wystarczy 1 strona
          $nr_strony = 1;
        }
 
     }  // koniec instrukcji warunkowej dla zmiennej nrStr
 
     //określam punkt początkowy wyników w bazie
     if(isset($_GET['startPage'])) {
        $start = $_GET['startPage'];
     } else {
        $start = 0;
     }
 
     //zapytanie do bazy danych o grupy towarów
 
     $zapytanie = "SELECT gt_id, opis, podkat_id from grupa_towarow ORDER BY opis ASC LIMIT $start, $display";
     $wynik = $lacz->query($zapytanie);
     if (!$wynik) {
    // throw new Exception('Brak danych w bazie danych.');
     echo 'Błąd zapytania. <br />';
     }
 
     $ilosc = $wynik->num_rows;
     if($ilosc == 0){
     return false;
     echo 'Brak wyników! <br />';
     }
 
      $wynik = kat_do_tablicy($wynik);
      return $wynik;
 
}
 
function kat_do_tablicy($wynik){
$tablica = array();
for($i=0; $rzad = $wynik->fetch_assoc(); $i++){
 $tablica[$i] = $rzad;
}
return $tablica;
}
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
function GTwyswietl($tab_gt){
   if(!is_array($tab_gt)){
   echo '<span>Brak dostępnych grup towarowych.</span>';
   return;
 }
 ?>
<table class="form" cellspacing="1" cellpadding="5">
<tr><td colspan="6">
<form method="post" action="./admin/gt_usun_wsz.php">
<input type="submit" name="usun" class="submit" value="Usuń wybrane" /></td></tr>
<tr>
<td><img src="./includes/img/delete.GIF" width="13" height="13" /></td>
     <td><h3>Id grupy towarów</h3></td>
	 <td><h3>Nazwa</h3></td>
	 <td><h3>Przypisana do</h3></td>
	 <td colspan="2"><h3>Akcja</h3></td>
    </tr>
 
<?php
 //nrStr
 
    $bg = '#ffffff;';
 
 foreach($tab_gt as $rzad){
 $bg = ($bg == '#ffffff'? '#f4f7f8' : '#ffffff');
 echo "<tr style=\"background-color:".$bg.";\">
  <td><input type=\"checkbox\" name=\"wybrano[]\" value=\"".$rzad['gt_id']."\" /></td>
  <td>";
  echo $rzad['gt_id'];
  echo '</td><td>';
  $url = "pokaz_gt.php?idgt=".($rzad['gt_id']);
  $tytul = $rzad['opis'];
  tworz_HTML_URL($url, $tytul);
  echo "</td><td>";
  $nazwa = pobierz_nazwe_podkat($rzad['podkat_id']);
  echo $nazwa;
  echo "</td><td>";
  $url1 = "?f=GtEdytuj&idgt=".($rzad['gt_id']);
   $url2 = "?f=GtUsun&idgt=".($rzad['gt_id']);
   tworz_HTML_URL($url1,'Edytuj');
    echo "</td><td>";
  tworz_HTML_URL($url2,'Usuń');
  echo "</td></tr>";
 
 }
  echo "</form></table>";
 
 
  //utwórz łącza do innych stron jeśli to konieczne
   if($nr_strony>1){
       //echo '<br /><p>';
       //Określamy bieżącą stronę
       $biezaca_str = ($start/$display) + 1;
       // jeśli nie jest to pierwsza strona, tworzę łącze do poprzedniej
       if($biezaca_str != 1){
        $url = "?d=grupyTowarow&startPage=".($start - $display) . "&nrStr=" . $nr_strony;
        tworz_HTML_URL($url,'Poprzednia');
 
       }
       // łącza dla pozostałych stron:
       for($i=1; $i <= $nr_strony; $i++){
        if($i != $biezaca_str){
          $url = "?d=grupyTowarow&startPage=".(($display * ($i-1))) . "&nrStr=" . $nr_strony;
        tworz_HTML_URL($url,$i);
        } else {
          echo $i . ' ';
        }
       }
      if($biezaca_str != $nr_strony){
        echo '<a href="?d=grupyTowarow$startPage='. ($start + $display) . '&nrStr=' . $nr_strony . '">Następna</a>';
      }
      echo '</p>';
   }
 
 
}
[PHP] pobierz, plaintext 

Od razu mówię: z wyświetlaniem wyników nie ma najmniejszych problemów. Problem jest ze stronicowaniem.
Może coś pominęłam...

[kuba32]

[PHP] pobierz, plaintext 
<?php
$str=$_GET['str'];
if($str==0){$str=1;}
$na_str=2; // Liczba wynikow na jednej stronie
$wpisy=mysql_query("SELECT * FROM wpisy ORDER BY id DESC");
 
$ile_str=mysql_num_rows($wpisy);
$ile_str=ceil($ile_str/$na_str);
for($i=1;$i<=$ile_str;$i++){
    echo '<a href="?str='.$i.'">Strona '.$i.'</a>';
}
$nr_wpis=0;
while($w=mysql_fetch_assoc($wpisy)){
$nr_wpis++;
  if($nr_wpis<=$str*$na_str&&$nr_wpis>$str*$na_str-$na_str){
  echo '<p>'.$w['tresc'].'</p>';
}
}
?>
[PHP] pobierz, plaintext 

Myślę, że się przyda