[PHP+SQL]Usuwanie wiadomosci+bezpieczenstwo

[PHP+SQL]Usuwanie wiadomosci+bezpieczenstwo, Jak to zrobic bez sesji i bez panelu admina?

marcio Zobacz profil	22.12.2007, 18:35:57 Post #1
Grupa: Zarejestrowani Postów: 2 291 Pomógł: 156 Dołączył: 23.09.2007 Skąd: ITALY-MILAN Ostrzeżenie: (10%)	Witam zrobilem sobie usuwanie wiadomosci w ksiedze gosci(nawet robi rym ) lecz jest ono slabo zabezpieczone tzn,link do usuwania danej wiadomosci widza tylko osoby ktore maja takie same ip jak dany post i jak dodta wszystko dziala. problem polega na tym ze znajac id posta mozna usunac co sie chce wpisujac go w url(usuwanie przesylam GET'em) tak to wyglada. [PHP] pobierz, plaintext <?php switch ($_GET['action']) { case 'usun': if($db = mysql_connect($this->pasy['host'], $this->pasy['login'], $this->pasy['haslo'])) { mysql_select_db($this->pasy['baza']); $ask = ("delete from ksiega_gosci where id=".(int)$_GET['id']); mysql_query($ask, $db); mysql_close($db); break; } } ?> [PHP] pobierz, plaintext a tu pokazaywanie postow z linkiem do usuwania lub bez: [PHP] pobierz, plaintext <?php if($tab['ip'] == $_SERVER['REMOTE_ADDR']) { echo('<table border="1" width="55%" bgcolor="#4E4E68" align="center"><tr><td width="50%">Dodal: '.stripslashes($tab['nick']).'</td><td width="50%">Dnia:'.$tab['data'].'</td></tr> <tr><td>'.stripslashes($tab['message']).'</td> <td><a href="?strona='.$strona.'&action=usun&id='.$tab['id'].'">usun</a></td> </tr> </table></form>'); } else { echo('<table border="1" width="55%" bgcolor="#4E4E68" align="center"><tr><td width="50%">Dodal: '.stripslashes($tab['nick']).'</td><td width="50%">Dnia:'.$tab['data'].'</td></tr> <tr><td>'.stripslashes($tab['message']).'</td></tr></table></form>'); } } ?> [PHP] pobierz, plaintext i teraz nie wiem zabardzo jak to zabezpieczyc mysle nad cookie, lecz jeszcze nie wiem co i jak myslalem na takimi dwoma rozwiazaniami: Gdy user dodaje posta i dane sie zapisuja do bazy to te same dane zapisac w cookie(jesli jest taka mozliwosc) + do tego wersje przegladarki ze nawet jak ktos sobie zmieni zawartosc cookie zeby edytowac inne wiadomosci to nie bedzie wiedzial wersji przegladarki user'a. Zrobic funckje losujaca jakas cyfre np z przedzialu od 1 do 1000 i zahashowac to i dodac do karzdej odpowiedzi zapisac to tez w cookie i sprawdzac czy sie zgadzaja?? Ale nie wiem czy sie one sprawdza czekam na jakies propozycje -------------------- Zainteresowania: XML \| PHP \| MY(SQL)\| C# for .NET \| PYTHON http://code.google.com/p/form-builider/ Moj blog

phpion Zobacz profil	22.12.2007, 18:42:21 Post #2
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza	Najlepiej zrób tak, że dodaj nowe pole do tabeli w bazie. Nazwij je np. "kod" i generuj tam jakiś ciąg znaków (np. md5(time().uniqid()) następnie do linków służących do usuwania dodawaj ten kod: [PHP] pobierz, plaintext <?php ... <td><a href="?strona='.$strona.'&action=usun&id='.$tab['id'].'&kod='.$tab['kod'].'">usun</a></td> ... ?> [PHP] pobierz, plaintext Następnie w kodzie usuwającym wpis daj: [PHP] pobierz, plaintext <?php $ask = ("delete from ksiega_gosci where id=".(int)$_GET['id']." AND kod=".$_GET['kod']); ?> [PHP] pobierz, plaintext I po sprawie. Znając tylko id można sobie polatać. Aby usunąć posta należy znać jego id oraz kod.

marcio Zobacz profil	22.12.2007, 19:40:21 Post #3
Grupa: Zarejestrowani Postów: 2 291 Pomógł: 156 Dołączył: 23.09.2007 Skąd: ITALY-MILAN Ostrzeżenie: (10%)	Kurde nie pomyslalem o tym a to takie banalne mniej kombinowania niz z cookie jesli to zadziala to ci cos wysle pod choinke Ok cos wykombinowalem ale ani wiadomosc sie nie usuwa ani nie widac kodu w url a kod w bazie sie dodaje.Tak to wyglada: [PHP] pobierz, plaintext <?php $this->hash = substr(md5(rand(1, 1000)), 0,6); ?> [PHP] pobierz, plaintext switch tak: [PHP] pobierz, plaintext <?php switch ($_GET['action']) { case 'usun': if($db = mysql_connect($this->pasy['host'], $this->pasy['login'], $this->pasy['haslo'])) { mysql_select_db($this->pasy['baza']); $ask = ("delete from ksiega_gosci where id=".(int)$_GET['id']." AND kod=".$_GET['kod']); mysql_query($ask, $db); mysql_close($db); break; } } ?> [PHP] pobierz, plaintext link tak(pokaze tez zapytanie i petle while): [PHP] pobierz, plaintext <?php $strona = $_GET['strona']; $id = (int)$_GET['id']; $kod = $_GET['kod']; $zap = ("select * from ksiega_gosci order by id desc limit ".$strona*$liczba.",".$liczba); $ris = mysql_query($zap, $db) or die(mysql_error()); while($tab = mysql_fetch_assoc($ris)) { if($tab['ip'] == $_SERVER['REMOTE_ADDR']) { echo('<table border="1" width="55%" bgcolor="#4E4E68" align="center"><tr><td width="50%">Dodal: '.stripslashes($tab['nick']).'</td><td width="50%">Dnia:'.$tab['data'].'</td></tr> <tr><td>'.stripslashes($tab['message']).'</td> <td><a href="?strona='.$strona.'&action=usun&id='.$tab['id'].'&kod='.$_tab['kod'].'">usun</a></td> </tr> </table></form>'); } ?> [PHP] pobierz, plaintext kolumna gdzie znajduje sie kod nazywa sie kod -------------------- Zainteresowania: XML \| PHP \| MY(SQL)\| C# for .NET \| PYTHON http://code.google.com/p/form-builider/ Moj blog

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 8.07.2025 - 04:37

Hosting zapewnia

Forum PHP.pl