防止用户编辑其他条目

我有一个PHP脚本，允许用户注册条目到数据库。条目是自动增加的。我发现，用户#A可以通过将url从edit.php？id = 2更改为id = 1来从用户#B获得条目。防止用户编辑其他条目

我当然希望防止。所以我的想法是：如果mysql条目中的用户ID字段与我的php脚本中的$ _SESSION ['user_id']匹配，则允许编辑。

用户应该只能够编辑他们已经贴出自己的条目。

什么将是实现这一目标的最佳和最有效的方法是什么？

<?php $bruker = $_SESSION['user_id']; ?> 

<?php } 
/* 
    EDIT RECORD 
*/ 
// if the 'id' variable is set in the URL, we know that we need to edit a record 
if (isset($_GET['id'])) 
{ 
    // if the form's submit button is clicked, we need to process the form 
    if (isset($_POST['submit'])) 
    { 
     // make sure the 'id' in the URL is valid 
     if (is_numeric($_POST['id'])) 
     { 
      // get variables from the URL/form 
      $id = $_POST['id']; 
      $elv = htmlentities($_POST['elv'], ENT_QUOTES); 
      $vald = htmlentities($_POST['vald'], ENT_QUOTES); 
      $art = htmlentities($_POST['art'], ENT_QUOTES); 
      $dato = htmlentities($_POST['dato'], ENT_QUOTES); 
      $vekt = (int)$_POST['vekt']; 
      $lengde = (int)$_POST['lengde']; 
      $flue = htmlentities($_POST['flue'], ENT_QUOTES); 
      $gjenutsatt = (int)$_POST['gjenutsatt']; 
      $kjonn = (int)$_POST['kjonn']; 
      $bilde = htmlentities($_POST['bilde'], ENT_QUOTES); 
      $user = $_SESSION['user_id']; 

      // check that required fields are not empty 
      if ($elv == '' || $vald == '' || $art == '' || $dato == '' || $vekt == '' || $kjonn == '') 
      { 
       // if they are empty, show an error message and display the form 
       $error = 'Du må fylle ut de påkrevde feltene!'; 
       renderForm($elv, $vald, $art, $dato, $vekt, $lengde, $flue, $gjenutsatt, $kjonn, $bilde, $user, $error, $id); 
      } 
      else 
      { 
       // if everything is fine, update the record in the database 
       if ($stmt = $mysqli->prepare("UPDATE fisk SET elv = ?, vald = ?, art = ?, dato = ?, vekt = ?, lengde = ?, flue = ?, gjenutsatt = ?, kjonn= ?, bilde = ?, user = ? 
        WHERE id=?")) 
       { 
        $stmt->bind_param("ssssiisiisii", $elv, $vald, $art, $dato, $vekt, $lengde, $flue, $gjenutsatt, $kjonn, $bilde, $user, $id); 
        $stmt->execute(); 
        $stmt->close(); 
       } 
       // show an error message if the query has an error 
       else 
       { 
        echo "ERROR: could not prepare SQL statement."; 
       } 

       // redirect the user once the form is updated 
       header("Location: /"); 
      } 
     } 
     // if the 'id' variable is not valid, show an error message 
     else 
     { 
      echo "Error!"; 
     } 
    } 
    // if the form hasn't been submitted yet, get the info from the database and show the form 
    else

来源

2015-07-03 Filip Blaauw

'选择数据，你需要从thetable其中的recordId = $ foo和用户ID = $ currentuser'。如果它不是合适的用户，他们可以破解他们想要的url，他们将永远不会获得任何记录数据进行编辑。 –

另外，当您尝试编辑数据以防止普通人混淆输入时，您应该避免使用GET字段 – MiltoxBeyond

假设你的用户有唯一的ID，你可以简单地添加额外的WHERE子句的SQL：

如果（$语句= $ mysqli->准备（“UPDATE菲斯克SET ELV =，VALD =？，art = ?, dato =？，vekt =？，lengde =？，烟道=？，gjenutsatt =？，kjonn =？， bilde =？，user =？ WHERE id =？AND created_user =？“ ））

显然取代created_user与您用于存储创建该条目的用户标识的列。

只会不断更新用户尝试编辑它创建的行的方式。

更安全的是，您可以通过首先查询相关行的创建用户标识，然后根据您的用户标识$ _SESSION检查它，然后查杀脚本或将它们重定向到它之前永远得到查询。

来源

2015-07-03 15:45:35 JohnnyFaldo

如果他们不是首先创建它，我应该阻止他们看到该页面。否则，表单将返回其他用户的内容。所以我会在第一个if语句附近添加一个查询？ –

在页面顶部，检查他们的授权编辑该项目 - 如果没有发送或杀死它 – JohnnyFaldo

防止用户编辑其他条目

回答

相关问题