Php 防止用户相互编辑条目
我有一个PHP脚本,允许用户向数据库注册条目。条目是自动递增的。我发现,用户A可以通过将url从edit.php?id=2更改为id=1,从用户B获得一个条目 我当然想防止这种情况发生。因此,我的想法是:如果mysql条目中的用户ID字段与php脚本中的$\u SESSION['user\u ID']匹配,则允许编辑 用户应该只能编辑他们自己发布的条目 实现这一目标的最佳和最有效的方法是什么Php 防止用户相互编辑条目,php,mysql,authentication,Php,Mysql,Authentication,我有一个PHP脚本,允许用户向数据库注册条目。条目是自动递增的。我发现,用户A可以通过将url从edit.php?id=2更改为id=1,从用户B获得一个条目 我当然想防止这种情况发生。因此,我的想法是:如果mysql条目中的用户ID字段与php脚本中的$\u SESSION['user\u ID']匹配,则允许编辑 用户应该只能编辑他们自己发布的条目 实现这一目标的最佳和最有效的方法是什么 <?php $bruker = $_SESSION['user_id']; ?> <
<?php $bruker = $_SESSION['user_id']; ?>
<?php }
/*
EDIT RECORD
*/
// if the 'id' variable is set in the URL, we know that we need to edit a record
if (isset($_GET['id']))
{
// if the form's submit button is clicked, we need to process the form
if (isset($_POST['submit']))
{
// make sure the 'id' in the URL is valid
if (is_numeric($_POST['id']))
{
// get variables from the URL/form
$id = $_POST['id'];
$elv = htmlentities($_POST['elv'], ENT_QUOTES);
$vald = htmlentities($_POST['vald'], ENT_QUOTES);
$art = htmlentities($_POST['art'], ENT_QUOTES);
$dato = htmlentities($_POST['dato'], ENT_QUOTES);
$vekt = (int)$_POST['vekt'];
$lengde = (int)$_POST['lengde'];
$flue = htmlentities($_POST['flue'], ENT_QUOTES);
$gjenutsatt = (int)$_POST['gjenutsatt'];
$kjonn = (int)$_POST['kjonn'];
$bilde = htmlentities($_POST['bilde'], ENT_QUOTES);
$user = $_SESSION['user_id'];
// check that required fields are not empty
if ($elv == '' || $vald == '' || $art == '' || $dato == '' || $vekt == '' || $kjonn == '')
{
// if they are empty, show an error message and display the form
$error = 'Du må fylle ut de påkrevde feltene!';
renderForm($elv, $vald, $art, $dato, $vekt, $lengde, $flue, $gjenutsatt, $kjonn, $bilde, $user, $error, $id);
}
else
{
// if everything is fine, update the record in the database
if ($stmt = $mysqli->prepare("UPDATE fisk SET elv = ?, vald = ?, art = ?, dato = ?, vekt = ?, lengde = ?, flue = ?, gjenutsatt = ?, kjonn= ?, bilde = ?, user = ?
WHERE id=?"))
{
$stmt->bind_param("ssssiisiisii", $elv, $vald, $art, $dato, $vekt, $lengde, $flue, $gjenutsatt, $kjonn, $bilde, $user, $id);
$stmt->execute();
$stmt->close();
}
// show an error message if the query has an error
else
{
echo "ERROR: could not prepare SQL statement.";
}
// redirect the user once the form is updated
header("Location: /");
}
}
// if the 'id' variable is not valid, show an error message
else
{
echo "Error!";
}
}
// if the form hasn't been submitted yet, get the info from the database and show the form
else
假设您的用户具有唯一ID,您只需向SQL中添加额外的WHERE子句即可: 如果$stmt=$mysqli->prepareUPDATE fisk SET elv=?,vald=?,art= ?,dato=?,vekt=?,lengde=?,烟道=?,gjenutsatt=?,kjonn=?, bilde=?,user=? 其中id=?并创建了_user= 显然,将created_user替换为用于存储创建条目的用户ID的列 这样,它将只更新用户试图编辑的行
更安全的是,您可以通过首先查询所涉及行的已创建用户id,然后根据您的用户id$\会话(如您所建议)进行检查,然后在到达查询之前终止脚本或重定向它们,来防止它们看到页面 从recordID=$foo和userID=$currentuser的表格中选择所需的数据。如果不是正确的用户,他们可以随意破解url,他们将永远无法获得任何记录数据进行编辑。此外,当您试图编辑数据时,应避免使用get字段,以防止普通人干扰Input。如果他们最初没有创建页面,则可能会阻止他们查看页面。否则,表单将返回其他用户的内容。因此,我会在第一个if语句附近添加一个查询?在页面顶部,检查他们是否有权编辑该项,如果没有,则将其发送或删除