php - Ret bruger fejl??? - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #14124 @ 03.03.09 21:29

Kan ikke rigtig finde fejlen:

PHP kode

 <?
 session_start();
 if (session_is_registered("brugernavn") AND ("kodeord")) {
 include("config.php");
 $hent = mysql_query("SELECT * FROM dsu_bruger WHERE brugernavn = '$_SESSION[brugernavn]'") or die(mysql_error());
 $vis = mysql_fetch_array($hent);
 ?>
 <body bgcolor="#CCCCCC">
 <? if($vis['superadmin'] == "ja"){ 
 $svar = mysql_query("SELECT * FROM dsu_bestyr ORDER BY navn ASC") or die(mysql_error());
 ?>
 <SELECT onchange="location.href='?bruger='+this.value;" 
 size=1 name=status><?
 echo"<OPTION>vælg navn</OPTION>";
 while ($row = mysql_fetch_array($svar)){
 echo"<OPTION value='$row[navn]'>$row[navn]</OPTION>";
 }
 echo"</select>";
 $svar2 = mysql_query("SELECT * FROM dsu_bestyr WHERE navn = '$_GET[navn]'") or die(mysql_error());
 $row2 = mysql_fetch_array($svar2);
 ?><?
 echo"<form action=\"ret_ok.php?id=$row2[id]\" method=\"POST\">";
 ?>  <p>Navn : 
   <input type="text" class="input" name="navn" value="
 <? echo "$row2[navn]"; ?>" size="10" maxlength="20">
 <br>Stilling :
   <input type="text" class="input" name="arb" value="
 <? echo "$row2[arb]"; 
 ?>" size="10" maxlength="20">
       
     <p><input type="submit" name="send" value="ret">
 </p></form>
 <?
 }}else{
 print "<font color=red>Du har ikke rettigheder til at se denne side</a></font>";
 }
 ?>
 </font>

Det er meningen at når jeg vælger et brugernavn, så skal den automatisk fylde input felterne ud med arb og navn.

8 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 1 karma

Sorter efter stemmer Sorter efter dato

Bruger #10647 @ 03.03.09 22:45

233

session_is_registered("brugernavn") AND ("kodeord") ?

Der mange flere fejl i din kode, men den der er godt nok mystisk. Mente du:
session_is_registered("brugernavn") && session_is_registered("kodeord")

Foruden det har du et misbrug af konstanter:

echo"<OPTION value='$row[navn]'>$row[navn]</OPTION>";

Linjer som denne hvor du har [DETTE_ER_EN_KONSTANT_NÅR_DEN_IKKE_ER_I_"_ELLER'] prøver PHP først at lede efter en konstant og hvis denne ikke eksitstere så laver den det om til en streng. Men du kunne jo være (u)heldig at ramme en konstant en dag og så står du med et meget uheldig problem.

Du har også:

<? echo "$row2[arb]"; ?>

Først og fremmest skal det være $row2['arb'] som jeg forklarede før, og derefter skal du ikke pakke det ind i gåseøjne, da det bare nedsætter din preformance og er fuldstængid unødvendigt. Hvis det er fordi du vil caste til en streng så skriv:
<?php echo (string)$row2['arb']; ?>

men dette kan i nogen tilfælde optimeres yderliger:
<?=$row2['arb']?> eller <?=(string)$row2['arb']?>

Hvis du vil echo en array værdi inde i en streng skal du også pakke værdien ind i {} :
"SELECT * FROM tabel WHERE value = '{$row2['arb']}'"

Start med at rette det

Indlæg senest redigeret d. 03.03.2009 22:54 af Bruger #10647

Bruger #14124 @ 03.03.09 22:49

205

Nej, for den første kode du omtaler bruger jeg i alle, og den giver ingen fejl i de andre.

Indlæg senest redigeret d. 03.03.2009 22:51 af Bruger #14124

Bruger #10647 @ 03.03.09 22:57

233

$svar2 = mysql_query("SELECT * FROM dsu_bestyr WHERE navn = '$_GET[navn]'") or die(mysql_error());

Skal nok være:

$svar2 = mysql_query("SELECT * FROM dsu_bestyr WHERE navn = '{$_GET['bruger']}'") or die(mysql_error());

Tag aligevel og ret de fejl jeg skriver, og så styr på din HTML (tag navne med lille, font er uddateret mm.)

EDIT Husk også at escape alt din input, ellers kan du få nogle ubehagelige problemer med XSS, Sql Injection og mange andre ubehageligheder

Indlæg senest redigeret d. 03.03.2009 23:00 af Bruger #10647

Bruger #5620 @ 03.03.09 23:51

1.500

Jeg tror minimum jeg har fortalt ham to gange at

and ('kodeord')

altid er sandt, men har har endnu aldrig rettet det, til enten noget der gav mening eller ingenting.

Bruger #6559 @ 04.03.09 07:50

843

Desuden er session_is_registered ikke muligt fra version 6 så derfor bør han vel bruge følgende i stedet for:

PHP kode

 if(isset($_SESSION['brugernavn'], $_SESSION['kodeord']))

Bruger #10647 @ 04.03.09 10:55

233

Jeg tror minimum jeg har fortalt ham to gange at

and ('kodeord')

altid er sandt, men har har endnu aldrig rettet det, til enten noget der gav mening eller ingenting.

Helle for at være den første til at køre Sql Injections på hans site så

Bruger #14124 @ 04.03.09 14:31

205

Er ikke så god til PHP endnu, og dermed ikke er så meget på sikkerhed endnu.

Bruger #10647 @ 04.03.09 17:30

233

Nej men hvis du følger vores anvisninger skal det jo nok komme.

Bare du følger dem ALLE

Ret bruger fejl???

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler