Witam forumowiczów

Nie znalazłem podobnego tematu w wyszukiwarce, więc:

Mam problem z edycją rekordów bazy z poziomu panelu admina.
Pisałem stronę na webserv i wszystko śmigało. Po zalogowaniu wyświetlały się nazwy pozycji menu strony a przy nich przycisk edytuj.
Po kilknięciu na niego wchodził formularz edycji.

Teraz wrzuciłem stronę na serwer OVH i ku mojemu zdziwieniu co prawda po zalogowaniu pozycje menu się wyświetlają, ale po wybraniu edycji strona nie wyświetla formularza edycji, a tylko się przeładowuje no i mogę tak klikać edytuj do przyszłego wieku.
W pasku przeglądarki widzę, że zmienne $p i $ile są przekazywane przez zapytanie (/admin.php?p=e&id=1).

Kod:

[PHP] pobierz, plaintext 
<?
 
if (isset($_GET["logout"]) && ($_GET["logout"]=="1")) {unset($_SESSION["access"]);}
 
$sql = mysql_connect("***","***","***"); 
mysql_select_db('***'); 
mysql_query('set charset utf8');
 
if((isset($_POST['user']) && $_POST['user'] !== "") && (isset($_POST['pass']) && $_POST['pass'] !== "")) {
$result=mysql_query("select * from users where user='".$_POST["user"]."' and pass='".md5($_POST["pass"])."'");
$ile=mysql_num_rows($result);
 
if ($ile=="1"){
$_SESSION["access"]=1;
}}
 
 
 
if (isset($_SESSION["access"]) && ($_SESSION["access"]=="1")){
 
 
$wynik = mysql_query("select id,link from menu"); 
 
	while ($w = mysql_fetch_row($wynik)) { 
        echo $w[1]." - "."\n"; 
        echo "<A HREF=\"admin.php?p=e&id=$w[0]\">edytuj</A><BR> "; 
        } 
 
	echo "<A HREF=\"admin.php?logout=1\">Wyloguj</A>";
 
 
   if (isset($p) && ($p == "e")) { 
     $wynik = mysql_query("select * from menu where id='$id'"); 
     $w = mysql_fetch_row($wynik); 
     echo "<FORM METHOD=\"post\" ACTION=\"admin.php\">"; 
     echo "<TEXTAREA NAME=\"tresc\">$w[2]</TEXTAREA><BR>"; 
     echo "<INPUT TYPE=\"hidden\" NAME=\"id\" VALUE=\"$w[0]\"><BR>"; 
     echo "<INPUT TYPE=\"submit\" VALUE=\"edytuj\">"; 
     echo "</FORM>"; 
   } 
 
   if (isset($tresc) && ($tresc != "")) { 
     echo "<BR>Zaktualizowano."; 
     mysql_query("UPDATE menu SET tresc = '$tresc' where id = '$id'"); 
   } 
 
}
 
else {
echo "<FORM METHOD=\"post\" ACTION=\"admin.php\">";
echo "login:<BR>";
echo "<INPUT TYPE=\"text\" NAME=\"user\"><BR>";
echo "hasło:<BR>";
echo "<INPUT TYPE=\"password\" NAME=\"pass\"><BR>";
echo "<INPUT TYPE=\"submit\" VALUE=\"loguj\">";
echo "</FORM>";
}
 
 ?> 
 
 
[PHP] pobierz, plaintext 

Pomożecie?

Pierwsze, co mi się rzuciło, to straszna podatność na SQL Injection

Hmm, czy mi się wydaje, czy register_globals jest problemem?

Strzał w 10, dzięki. Jak rozumiem ustawienie jedynki przy zmiennych globalnych w .htaccess nie sprzyja bezpieczeństwu (?) a moje problemy w tym miejscu zamiast się kończyć, dopiero się zaczynają.
Więc powstaje pytanie jak wygląda metoda pozwalająca działać temu formularzowi bez włączania zmiennych globalnych?
No i czy podatność na atak wynikła z braku zastosowania jakiejś konkretnej nazwijmy to - sztuczki, czy kod jest że tak powiem skopany od podstaw?

Temat: SQL Injection Insertion - poczytaj sobie.

A żeby ten formularz działał, jest kilka dróg m.in. włączenie register_globals(cholernie niepolecane) oraz po prostu przerobienie odpowiednich zmiennych w elementy tablicy $_POST/$_GET/$_REQUEST etc.

ok, trochę szukałem, ba - nawet próbowałem przerobić, ale chyba nie wiem jak to ma wyglądać.. jest jakiś dział poniżej przedszkola?

No nic, mimo wszystko dzięki za wskazówkę. Będę szukał dalej jak to zrobić. Pozdrawiam

cześć, wznawjając temat:

Pojawiła się odpowiedź, że jedną z opcji jest "przerobienie odpowiednich zmiennych w elementy tablicy $_POST/$_GET/$_REQUEST etc. "
Problem w tym, że nie wiem jak to ma wyglądać. Podpowie ktoś?

No i jeszcze kwestia SQL injection - czy zastosowanie addslashes wystarczy żeby się obronić?

nie
$zmienna
a
$zmienna = $_POST['zmienna'];
Tu żadnej filozofii nie ma

ok, ale jeśli mam coś takiego

[PHP] pobierz, plaintext 
if ($_GET["logout"]=="1") {unset($_SESSION["access"]);}
[PHP] pobierz, plaintext 

i wiadomość typu Notice: Undefined index: logout in /(...)admin.php on line 8

to ja mogę dać POSTa zamiast GETa?

lub tutaj:

[PHP] pobierz, plaintext 
if ($ile=="1"){
$_SESSION["access"]=1;
}
 
if ($_SESSION["access"]=="1"){
[PHP] pobierz, plaintext 

tu z kolei jest błąd dla accessa.

to oznacza że element taki element tablicy nie został zainicjowany tj. nie została mu przypisana żadna wartość, najlepiej

zanim użyje się jakiejś zmiennej dobrze jest sprawdzać czy istnieje za pomocą isset:

Temat: PHP Notice Undefined index

możesz też wyłączyć tę informację:

[PHP] pobierz, plaintext 
<?php error_reporting (E_ALL ^ E_NOTICE); ?>
[PHP] pobierz, plaintext 

ale lepiej tego nie robić bo taka informacja się przydaje przy debugowaniu

Tylko, że jak dam issety to rzeczywiście giną te powiadomienia, ale formularz nie działa.
Bardziej chodziło mi o to co napisali @mat-bi i @nospor

Tutaj ustawiłeś że formularz ma przesyłać dane metodą POST

[PHP] pobierz, plaintext 
   if (isset($p) && ($p == "e")) { 
     $wynik = mysql_query("select * from menu where id='$id'"); 
     $w = mysql_fetch_row($wynik); 
     echo "<FORM METHOD=\"post\" ACTION=\"admin.php\">"; 
     echo "<TEXTAREA NAME=\"tresc\">$w[2]</TEXTAREA><BR>"; 
     echo "<INPUT TYPE=\"hidden\" NAME=\"id\" VALUE=\"$w[0]\"><BR>"; 
     echo "<INPUT TYPE=\"submit\" VALUE=\"edytuj\">"; 
     echo "</FORM>"; 
   } 
[PHP] pobierz, plaintext 

tutaj natomiast robisz coś takiego:

[PHP] pobierz, plaintext 
if (isset($tresc) && ($tresc != "")) {
echo "<BR>Zaktualizowano.";
mysql_query("UPDATE menu SET tresc = '$tresc' where id = '$id'");
} 
[PHP] pobierz, plaintext 

w starym PHP była możliwość że dane przesyłane przez POST, GET itd. były od razu dostępne przez zwykłe zmienne, dlatego @mat-bi napisał o register_globals (to jest właśnie to)

jak widzisz nigdzie wcześniej w kodzie nie przypisałeś wartości do zmiennej $tresc, a skoro powyższa opcja którą opisałem jest wyłączona ze względów bezpieczeństwa Twój skrypt nie działa

żeby działał musisz go zmienić tak jak napisał @nospor, czyli dla przykładu:

[PHP] pobierz, plaintext 
$tresc = $_POST['tresc'];
if (isset($tresc) && ($tresc != "")) {
echo "<BR>Zaktualizowano.";
mysql_query("UPDATE menu SET tresc = '$tresc' where id = '$id'");
} 
[PHP] pobierz, plaintext 

Dodatkowo zamiast ciągle robić echo kodu HTML lepiej wielokrotnie zamykać blok kodu PHP, przykład:

[PHP] pobierz, plaintext 
<div class="user_controls">
	<?php if ($user = Current_User::user()): ?>
		Hello, <em><?php echo $user->username; ?></em> <br/>
		<?php echo anchor('logout', 'Logout'); ?>
	<?php else: ?>
		<?php echo anchor('login','Login'); ?> |
		<?php echo anchor('signup', 'Register'); ?>
	<?php endif; ?>
</div>
 
<h1>My Message Board</h1>
 
<?php foreach($categories as $category): ?>
 
	<div class="category">
 
		<h2><?php echo $category->title; ?></h2>
 
		<?php foreach($category->Forums as $forum): ?>
 
			<div class="forum">
 
				<h3>
					<?php echo anchor('forums/'.$forum->id, $forum->title) ?>
					(<?php echo $forum->Threads->count(); ?> threads)
				</h3>
 
				<div class="description">
					<?php echo $forum->description; ?>
				</div>
 
			</div>
 
		<?php endforeach; ?>
 
	</div>
 
<?php endforeach; ?>
[PHP] pobierz, plaintext