Edit script Beveiliging

Door Crazyme op 17-05-2006 12:15

4.812 views

Hallo allemaal,

Ik heb een editscript gemaakt/getweaked waarmee je data in de de database kan aanpassen nu wil ik hier echter een login script bij zetten zodat je alleen met wachtwoord en gebruikersnaam kan editten. Ook is het de bedoeling dat er 2 users komen de ene user kan bv. alleen id 2 en 4 aanpassen de andere kan alles aanpassen. Hoe kan ik dit het beste aanpakken hier volgt het script dat ik tog nu toe heb.

<?php

include("config.php");

if(!isset($_GET['mode']))
{

$result = mysql_query("SELECT * FROM pagina_content order by id ASC");

while($r=mysql_fetch_assoc($result))
{

echo '
<table width="400" border="0" cellspacing="4" bgcolor="#FFFC00">
<tr>
<td width="52" valign="top" >ID</td>
<td width="332"><div class="edit_tekst">'.$r['id'].'</div></td>
</tr>
<tr>
<td valign="top">Page</td>
<td><div class="edit_tekst">'.$r['pagina'].'</div></td>
</tr>
<tr>
<td> </td>
<td><a href="editcontent.php?mode=edit&id='.$r['id'].'">Edit</a></td>
</tr>
</table><br/>';
}
}
?>

<?php

if( isset( $_GET['mode'] ) && $_GET['mode'] == 'edit' || isset( $_POST['mode'] ) && $_POST['mode'] == 'edit' )
{
if (!isset($_POST["submit"]))
{
$id = $_GET["id"];
$sql = "SELECT * FROM pagina_content WHERE id=".$_GET['id'];
$result = mysql_query($sql) or die(mysql_error());
$pagina_content = mysql_fetch_array($result);
?>

<form action="<?php $_SERVER['PHP_SELF'] ?>" method="post">
<span class="titel">Edit content</span><br>
<br>
<table width="100%" border="0" cellpadding="0" cellspacing="0">
<tr>
<td width="117" class="naam">Pagina:</td>
<td width="577">
<input type=hidden name="id" value="<?php echo $menu["id"] ?>">
<INPUT NAME="pagina" TYPE="TEXT" id="pagina" VALUE="<?php echo $pagina_content["pagina"] ?>" SIZE=30> </td>
</tr>
</tr>
<td width="117" class="naam">Content vak 1:</td>
<td width="577">
<textarea name="content1" cols="50" rows="8" id="content1"><?php echo $pagina_content["content1"] ?></textarea>
<input type="hidden" name="mode" value="edit"> </td>
</tr>
<tr> </tr>
<td width="117" class="naam">Content vak 2:</td>
<td width="577">
<textarea name="content2" cols="50" rows="8" id="content2"><?php echo $pagina_content["content2"] ?></textarea>
<input type="hidden" name="mode" value="edit"> </td>
</tr>
<tr>
<tr>
<td width="117" class="naam">Plaatje:</td>
<td width="577">
<INPUT NAME="plaatje" TYPE="TEXT" id="plaatje" VALUE="<?php echo $pagina_content["plaatje"] ?>" SIZE=30>
<input type="hidden" name="mode" value="edit"> </td>
</tr>
<tr>
<td width="117" class="naam"></td>
<td><input type="submit" name="submit" value="Edit"></td>
</tr>
</table>
</form>

<? } ?>

<?php
if ($_POST["submit"])
{
$pagina = $_POST["pagina"];
$content1 = $_POST["content1"];
$content2 = $_POST["content2"];
$plaatje = $_POST["plaatje"];

$sql = "UPDATE pagina_content SET pagina='".$pagina."',content1='".$content1."',content2='".$content2."',plaatje='".$plaatje."' WHERE id=".$_GET['id'];

$result = mysql_query($sql) or die(mysql_error());
echo 'Content aangepast!.<META HTTP-EQUIV=Refresh CONTENT="2; URL=editcontent.php">';
}
}
?>

Alvast bedankt voor de hulp!

Crazyme

18-05-2006 22:09

<?php

include("config.php");

if(isset($_SESSION['rank'])){
$rank = $_SESSION['rank'];
}
else {
$rank = 0;
}

echo "Welkom ".$user." <br /><br />"; // Waarde van rank laten zien
echo "Op deze pagina kunt u de aan u uw website beheren."; // Waarde van rank laten zien
echo "Uw beheer niveau is:".$rank."<br /><br />"; // Waarde van rank laten zien

if(($rank & 1) == 1)
{
// rank is akkoord
if(!isset($_GET['mode']))
{

$result = mysql_query("SELECT * FROM pagina_content WHERE id=200 OR id=201 OR id=202 OR id=800");
}

elseif (($rank & 4) == 4)
{
// rank is akkoord
if(!isset($_GET['mode']))
{

$result = mysql_query("SELECT * FROM pagina_content WHERE id=300 OR id=301 OR id=402 OR id=500");
}
}
}
while($r=mysql_fetch_assoc($result))
{
echo '
<table width="400" border="0" cellspacing="4" bgcolor="#FFFC00">
<tr>
<td width="52" valign="top" >ID</td>
<td width="332"><div class="edit_tekst">'.$r['id'].'</div></td>
</tr>
<tr>
<td valign="top">Page</td>
<td><div class="edit_tekst">'.$r['pagina'].'</div></td>
</tr>
<tr>
<td> </td>
<td><a href="editcontent.php?mode=edit&id='.$r['id'].'">Edit</a></td>
</tr>
</table><br/>';

} ?>

Crazyme

18-05-2006 22:15

SanThe schreef op 18.05.2006 22:07
Je doet dit

if(...)
{ $result = ......
}
enz
en dan
while($r=mysql_fetch_assoc($result))

Dus als de if() false is is $result onbekend.

hoe moet ik dit dan doen??

Jelle -

18-05-2006 22:28

SanThe schreef op 18.05.2006 22:07
Je doet dit

if(...)
{ $result = ......
}
enz
en dan
while($r=mysql_fetch_assoc($result))

Dus als de if() false is is $result onbekend.

Daarom wordt er voor de while() gekeken of $result bestaat :P

Crazyme

18-05-2006 22:33

hmmz wat moet er nou veranderd worden wat klopt er niet aan dan?

Jelle -

18-05-2006 22:34

Dit moet werken

<?php

include("config.php");

if(isset($_SESSION['rank'])){
$rank = $_SESSION['rank'];
}
else {
$rank = 0;
}

echo "Welkom ".$user." <br /><br />"; // Waarde van rank laten zien
echo "Op deze pagina kunt u de aan u uw website beheren."; // Waarde van rank laten zien
echo "Uw beheer niveau is:".$rank."<br /><br />"; // Waarde van rank laten zien

if(($rank & 1) == 1)
{
// rank is akkoord
if(!isset($_GET['mode']))
{
$result = mysql_query("SELECT * FROM pagina_content WHERE id=200 OR id=201 OR id=202 OR id=800");
}
}
elseif (($rank & 4) == 4)
{
// rank is akkoord
if(!isset($_GET['mode']))
{
$result = mysql_query("SELECT * FROM pagina_content WHERE id=300 OR id=301 OR id=402 OR id=500");
}
}

if(isset($result))
{
while($r=mysql_fetch_assoc($result))
{
echo '
<table width="400" border="0" cellspacing="4" bgcolor="#FFFC00">
<tr>
<td width="52" valign="top" >ID</td>
<td width="332"><div class="edit_tekst">'.$r['id'].'</div></td>
</tr>
<tr>
<td valign="top">Page</td>
<td><div class="edit_tekst">'.$r['pagina'].'</div></td>
</tr>
<tr>
<td> </td>
<td><a href="editcontent.php?mode=edit&id='.$r['id'].'">Edit</a></td>
</tr>
</table><br/>';
}
}
else
{
echo "Fout: Geen query uitgevoert";
}

?>

Crazyme

18-05-2006 22:44

je bent geweldig het werkt!!! wat was er nou fout??

Jelle -

18-05-2006 22:51

hier ging je niet goed om met je lussen
<?php
if(($rank & 1) == 1)
{
// rank is akkoord
if(!isset($_GET['mode']))
{
$result = mysql_query("SELECT * FROM pagina_content WHERE id=200 OR id=201 OR id=202 OR id=800");
}
}
elseif (($rank & 4) == 4)
{
// rank is akkoord
if(!isset($_GET['mode']))
{
$result = mysql_query("SELECT * FROM pagina_content WHERE id=300 OR id=301 OR id=402 OR id=500");
}
}
?>

en voor de while() gecontroleerd of $result bestaat.

Crazyme

18-05-2006 23:07

ok naja ga ik voortaan beter op letten leer hier echt wel veel van. Alles werkt echt vet!! heb nog 1 foutmelding

Notice: Undefined index: submit in /www/htdocs/wwwinfrc/http/tijdelijk/editcontent.php on line 176

script:
<?php
if ($_POST["submit"])
{
$pagina = $_POST["pagina"];
$content1 = $_POST["content1"];
$content2 = $_POST["content2"];
$plaatje = $_POST["plaatje"];

$sql = "UPDATE pagina_content SET pagina='".$pagina."',content1='".$content1."',content2='".$content2."',plaatje='".$plaatje."' WHERE id=".$_GET['id'];

$result = mysql_query($sql) or die(mysql_error());
echo 'Content aangepast!.<META HTTP-EQUIV=Refresh CONTENT="2; URL=editcontent.php">';
}
}
?>

het werkt allemaal wel geen last van de foutmelding maar staat zo storend :P

Jelle -

18-05-2006 23:49

Je moet wel controleren of $_POST['submit'] bestaat.

if ($_POST["submit"])

moet worden

if(isset($_POST['submit']))

Reageren

Inloggen om te reageren