At slette en fil fra serveren

Men den sletter jo så kun det som hedder det samme som billedfilen.

Hvor er det lige der er brugt .. ??
Kan ikke få øje på det?

Men hvad kan man ellers gøre - tilføje et eller andet til koden som tjekker at det er en billedfil f.eks.?

Hvor er det lige der er brugt .. ??
Kan ikke få øje på det?

du har ikke brugt det nogle steder, men en hacker ville nemt kunne slette andre filer


jeg sender lige en pb med konkret eks

Men hvad kan man ellers gøre - tilføje et eller andet til koden som tjekker at det er en billedfil f.eks.?

det du skal gøre er tilføje noget rettigheds validering

som jeg skrev 22.07.13 18:01

den rigtige løsning er dog kun at tage billed id'en med over og så slå op over i deletephoto.php url og rettigheder

url: er billedts url
rettigheder: hvem ejer billed
ejerid skal så sammenlignes med session[userid]
så din billed tabel mangler et felt med id på hvem der ejer billedet

med udgangs punkt i den code jeg viste 21.07.13 18:47 i delete.php (første indlæg)
(utested)

<?php
if(! isset($_SESSION)){
	session_start();
}
include_once($_SERVER['DOCUMENT_ROOT']."/include/php/debug.php"); // slår fejl visning til/fra
require_once('Connect.php'); // Indeholder mit database connect, her er $conn defineret

$id = (isset($_GET["id"]))? (int)$_GET["id"]:0;
$user_id=0; // id på den bruger der ejer billed
filename=""; // filnavnet på den fil der skal sletter evt kombineret med sti, du kalder feltet IMGurl
$session_userid = $_SESSION['userid'];  // den bruger der er logget ind

if ($id > 0){
	$sql = "SELECT user_id, filename FROM billeder WHERE id = $id";
	$rs=mysqli_query($conn, $sql);
	if( $row=mysqli_fetch_assoc($rs) ){
		$user_id = $row['user_id'];		
		$filename = $row['filename'];	
	}			
			
	// så er det den bruger der er logget ind der ejer pågældende record, så slette vi den
	if($user_id==$session_userid){		
		//$sql = "DELETE FROM billeder WHERE id = $id";			
		//$rs=mysqli_query($conn, $sql);
		if(file_exists($filename)){
			unlink($filename); // img/hest.jpg
		}
	}
}
header('Location: medlem/forsideP.php');
exit;
?>

Men hvad nu hvis jeg IKKE vil have en ejer af billedet i databasen.
Jeg kan sagtens have poster i databasen som skal kunne opdateres af flere forskellige.
Kan jeg ikke gøre det på en måde hvor jeg ikke skal have et brugerID tilknyttet?

Kan man måske hente billedeURL i noget session eller row istedet for med GET?

Spørgsmål:
Hvis jeg nu lægger en lille kode ala denne ind i toppen af den side jeg bruger til at slette et billede:

 <?php
 session_start();
 
 if ($_SESSION['Prem']=="xxx"){
  header("Location: "."forsideB.php");
 
 } 
 
 elseif ($_SESSION['Prem']==""){
  header("Location: "."login.php");
 
 } 
 
 ?>

Hvis så det så er at brugeren skal sendes videre til en af de to sider - vil den så stadig udføre sletningen af billedet?


UPDATE:
Har prøvet denne kode:

 <?php
 
 // print_r($_GET); // test
 if( isset($_GET["id"]) ){
 include_once('Connect.php');
      mysql_query("DELETE FROM billeder WHERE id = '".$_GET["id"]."'");
     if(file_exists("/".$row["IMGurl"])){
         unlink("/".$row["IMGurl"]);
      }
     header('Location: \medlem/photos.php?hid='.$_GET["hid"]);
 }
 else{
     header('Location: fejl.html'); // id eller IMGurl findes ikke
 }
 exit;
 ?>

Og den virker. På den måde taget jeg jo IMGurl fra row istedet for get.
Jeg er klar over at det så vil slette det som ligger i tabellen, men jeg henter jo fra tabellen hvor billed id er noget bestemt. + at jeg har et stykke kode som gør at hvis brugeren ikke er logget ind, så bliver brugeren sendt videre til login.
Så kan det vel ikke være helt galt?

Jeg kan sagtens have poster i databasen som skal kunne opdateres af flere forskellige.

tilføj et gruppe_id til billed
eller omdøb ejerid til gruppe_id

overvej om en person kan være med i flere grupper

hvis du har både ejer_id og gruppe_id på et billed, vil ejer og gruppe kunne slette, brugeren er jo ikke nødvendigvis med i gruppen der kan slette andres billeder.

det du påtænker at lave er, at alle medlemmer kan slette alle medlemmers billeder, er det smart ?? (nej)
du er nød til at have kontrol med hvem der kan slette hvis billeder. det eneste du har sikret nu er at man ikke kan andet end de bileder der ligger i db, hvilke er en start

Jo, men når en bruger er logget ind, så kan han/ hun kun få de heste frem hvor de står som ejer af disse heste.
Står de ikke som ejer af hesten, så sendes de væk fra den side de har forsøgt at åbne.

Jeg tjekker altså, at de er logget ind, at de har den rette bruger-rang OG at de står som ejer af den hest de forsøger at rette (uploade/ slette billede).

Jeg skriver det for at teste, så bliver jeg sendt videre til en fejlside - så det er jo godt nok