php - MySQL update hjælp - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #15688 @ 17.09.10 22:24

Hej,

Jeg arbejder på min første website, hvor brugerne har mulighed for at oprette sig, se deres profil og ændre deres profil.

Jeg kan ikke få databasen til at updatere med de rigtige oplysninger, når de har udfyldt formularen.

Det som sker da jeg trykker på gem profil, er at feltet i databasen står blankt..

edit_profil.php

Kode


<?php 
include ("../includes/session.php");
include ("../includes/functions.php");
require_once("../includes/connection.php"); 
confirm_logged_in();
?>

<?php

$query = mysql_query("SELECT * FROM users where id = '$_SESSION[id]' ");

while ($row = mysql_fetch_array($query)) {

$id = $row ['id'];
$username = $row ['username'];
$first_name = $row ['first_name'];
$last_name = $row ['last_name'];
$city = $row ['city'];
$date = $row ['date'];
$age = $row ['age'];
$country = $row ['country'];
$about_me = $row ['aboutme'];
}

?>



<?php include("../includes/header.php"); ?>

<?php include("../includes/member_left_menu.php"); ?>

<div id="member_content">

<h2>Oplysninger om dig</h2>

<form action="edit_profile_succes.php" method="POST">
	<table>
		
		<tr>
		<td>Brugernavn:</td>
		<td><input type="text" name="change_username" value="<?php echo $username ?>"> </td>
		</tr>
		
		<tr>
		<td>Fornavn:</td>
		<td><input type="text" name="change_first_name" value="<?php echo $first_name ?>"></td>
		</tr>
		
		<tr>
		<td>Efternavn:</td>
		<td><input type="text" name="change_last_name" value="<?php echo $last_name ?>"></td>
		</tr>
				
		<tr>
		<td>By:</td>
		<td><input type="text" name="change_city" value="<?php echo $city ?>"></td>
		</tr>
		
		<tr>
		<td>Alder:</td>
		<td><input type="text" name="change_age" value="<?php echo $age ?>"></td>
		</tr>
		
		<tr>
		<td>Land:</td>
		<td><input type="text" name="change_country" value="<?php echo $country ?>"></td>
		</tr>
		
		<tr>
		<td>Om mig:</td>
		<td><textarea name="about_me" cols="35" rows="10"><?php echo $about_me ?> </textarea></td>
		</tr>
		
		
		
	</table>
	<p />
	<input type="submit" name="submit" value="Gem">
</form>

</div>

<?php include("../includes/footer.php");

edit_profile_succes.php

Kode


<?php 
include ("../includes/session.php");
include ("../includes/functions.php");
require_once("../includes/connection.php"); 
confirm_logged_in();
?>

<?php

$update_profile = mysql_query("UPDATE users SET username='$username' WHERE id = '$_SESSION[id]'");


include ("../includes/header.php");

echo "Din bruger er nu opdateret";

include ("../includes/footer.php");

?>

Håber der er nogen der kan hjælpe. :)

8 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #13429 @ 18.09.10 09:12

113

Ja det er præcist noget med sikkerhed at gøre og det er den rigtige måde du gør det på.

Et eksempel på hvad den sikre ville være, dit eksempel hvor en bruger skal indsætte noget data.

hvor brugeren så vidt jeg husker ville kunne skrive
i feltetusername ', first_name = (DELETE FROM users WHERE 1) på den måde kan han slette alle rækker i din tabel.

Et andet eksempel kunne være ved login hvor du har noget alla.
SELECT * FROM users WHERE username = '$username' AND password = '$password';

her ville brugeren så bare kunne skrive i $password feltet:
' OR 1=1
så ville han plusligt have adgang med alle brugere.
Det mysql_real_escape_string gør er at parse ulovlige tegn så ' bliver til \' osv. og så forsvinder det sikkerhedshul.

(har ikke testet de skrevne sql's, men håber du kan se ideen!)

Bruger #12703 @ 17.09.10 23:55

158

Hmm, jeg er ikke en stor ørn til PHP, selvom jeg har brugt den her slags form for update, men hvis det kun er username der ikke bliver opdateret, så er jeg lidt på herrens mark, for umiddelbart så kunne man tro at det er fordi i din form står der change_username osv.

Men prøv evt. at slette det, eller skriv det ind i
$username = $_POST['username'];

Selvom jeg ikke tror det er det, men det er da forsøget værd.

Bruger #12703 @ 17.09.10 22:31

158

Du skal have sat lidt kode ind i din edit_profile*_succes.php, for den indtastede data kommer ikke med over på nævnte side
Det skal være
$username=$_POST['username'];
en linie for hvert af felterne, og det skal stå lige over: $update_profile

Bruger #15688 @ 17.09.10 22:47

Hej Per,

Tak for dit svar.

Jeg har ændret min edit_profil_succes.php fil nu, men mit brugernavn i databasen ændrer sig stadigvæk bare til blank.

edit_profil_succes.php nu

Kode


<?php 
include ("../includes/session.php");
include ("../includes/functions.php");
require_once("../includes/connection.php"); 
confirm_logged_in();
?>

<?php


$username = $_POST['username'];
$first_name = $_POST['first_name'];
$last_name = $_POST['last_name'];
$age = $_POST['age'];
$city = $_POST['city'];
$country = $_POST['country'];


$update_profile = mysql_query("UPDATE users SET username='$username' WHERE id = '$_SESSION[id]'");


include ("../includes/header.php");

echo "Din bruger er nu opdateret";

include ("../includes/footer.php");

?>

Indlæg senest redigeret d. 17.09.2010 22:48 af Bruger #15688

Bruger #15688 @ 17.09.10 22:53

Hvis jeg skriver SET username='jan', så ændrer brugernavnet sig til jan i databasen.

Altså:

Kode

$update_profile = mysql_query("UPDATE users SET username='jan' WHERE id = '$_SESSION[id]'");

Bare mærkeligt hvis jeg skriver $username, så bliver den blank.

Bruger #13429 @ 17.09.10 23:49

113

Nu skal du lige huske hvad du har kaldt dine input felter i html (name-attributten) den skal passe med den du kalder i php i $_POST['<her!>'].

kan se i dit tilfælde har du: change_username, change_first_name osv.

så for at hente dem i php skal du have $_POST['change_username'], $_POST['change_first_name'] osv.
istedet for blot $_POST['username'].
Derudover vil jeg foreslå dig at køre dine resultater gennem mysql_real_escape_string så du slipper for det væreste SQL-injektion!

Bruger #15688 @ 18.09.10 00:25

Hej Jesper,

Tak for dit svar. Jeg fik det til at virke nu.

Angående mysql_real_escape_string, så har jeg læst mig frem til at det har noget med sikkerheden at gøre?

Er dette rette fremgangsmåden at lave det om til mysql_real_escape_string?

Kode


$username = mysql_real_escape_string($_POST['change_username']);
$first_name = mysql_real_escape_string($_POST['change_first_name']);
$last_name = mysql_real_escape_string($_POST['change_last_name']);
$age = mysql_real_escape_string($_POST['change_age']);
$city = mysql_real_escape_string($_POST['change_city']);
$country = mysql_real_escape_string($_POST['change_country']);
$about_me = mysql_real_escape_string($_POST['about_me']);

Bruger #15688 @ 20.09.10 15:43

Mange tak for dit svar jesper

MySQL update hjælp

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler