Sikre at bruger ikke sletter andres bookinger

På mit bookingsystem kan brugere vælge at slette deres booking igen.
Jeg vil gerne have, at brugeren kun kan slette egne tilføjede bookinger og hvis han prøver at slette andres - får en meddelse "du kan ikke" o.s.v.
Hvordan kan jeg det ?
Jeg har tabellen "event2" med felterne: cod, active, title, userid, date, from_, till

Min kode:

Kode 

<?PHP

include_once("core/main.php");
//if( !check_user_class($config["admmenu"]["events2"]["class"]) ) exit;

if( !check_module("events2") ) die( "module not enabled" );

    
include_once( "modules/events2/lang/msg_".check_lang($cfg["core"]["lang"]).".php" );
$index_page = false;

$page_name = $lang["EVENTS2_ADMIN"];

draw_header();

theme_draw_centerbox_open( $lang[EVENTS2_ADMIN] );

{
global $config, $cfg, $lang;


        mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod'");

        echo "Den valgte booking blev slettet!";
    }

    echo "\\n";

    $res = mysql_query("SELECT * from {$config["prefix"]}_events2 ORDER BY cod DESC LIMIT 0, 100");

    while($row = mysql_fetch_array($res));

  
theme_draw_centerbox_close();
theme_draw_centerbox_open( $lang["EVENTS_LIST_EVENTS"] );
events2_draw_list();

theme_draw_centerbox_close();
draw_footer();
?>

Stig

Kode 

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod' AND userid=$useridFraSession");

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod'");

Kode 

$cod = "'; drop table event2;"

Du kan bede om brugernavn og adgangskode hver gang nogen vil slette noget; på den måde bliver du mindre følsom overfor session-hijacking

- karmazilla -

Kode 

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod' AND userid=$useridFraSession");

på den måde bliver der ikke slettet noget fra din database hvis userid ikke passer!

Casper

[Redigeret d. 31/07-04 20:29:20 af Casper Steinmann]

Kode 

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod' AND userid=$useridFraSession");

på den måde bliver der ikke slettet noget fra din database hvis userid ikke passer!

Casper

[Redigeret d. 31/07-04 20:29:20 af Casper Steinmann]



$useridFraSession - Jeg forstår ikke helt, hvordan mener du ?



stigman

[Redigeret d. 31/07-04 22:06:43 af Allan Christensen]

Du skrev at brugerne var logget ind, og du har sikkert styr på hvem der er logget ind vha. sessions eller cookies. Det du så bør gøre, eller som man gør er, at man i en sessionvariabel el. cookie, gemmer brugerid'et! på den måde kan du altid identificere en bruger ud fra deres navn og ikke fra deres brugernavn...

Casper

Du skrev at brugerne var logget ind, og du har sikkert styr på hvem der er logget ind vha. sessions eller cookies. Det du så bør gøre, eller som man gør er, at man i en sessionvariabel el. cookie, gemmer brugerid'et! på den måde kan du altid identificere en bruger ud fra deres navn og ikke fra deres brugernavn...

Casper

Det er den nemme måde at gøre det på, og det kommer selvfølgelig an på hvor vigtig databasen er og hvor højt sikkerheden prioteres.
sessions og coockies er skrøbelige og ikke sikre nok til at betro adgangen til persondata


- karmazilla -

Kode 

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod' AND userid=$useridFraSession");

på den måde bliver der ikke slettet noget fra din database hvis userid ikke passer!

Casper

Jeg har denne her $_SESSION["wt"]["uid"]
Hvordan skal jeg så få flettet den ind i koden så den checker SESSION med {$config["prefix"]}_events2 userid'et .

stigman

Kode 

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod' AND userid=$_SESSION["wt"]["uid"]");

Kode 

mysql_query("DELETE FROM {$config["prefix"]}_events2 WHERE cod='$cod' AND userid=" . $_SESSION["wt"]["uid"] ."");