ugrás a tartalomhoz

Update

wreakz · 2013. Okt. 5. (Szo), 00.47
Sziasztok!
Nem találom a hibát, tudnátok segíteni ?
Lehet hogy én vagyok a vak, de nem találom :/
Az adatbázisnév szándékosan van kipontozva, nem az a hiba.
  1. <form method="post">  
  2. <input type="text" name="adminfel" value=""></input>  
  3. </form>  
  4.   
  5.   
  6.   
  7.   
  8. if( isset( $_POST['adminhozzaadas'] ) )  
  9. {  
  10. mysql_connect( $ab_kiszolgalo$ab_felhasznalo$ab_jelszo);  
  11. mysql_select_db("..."or die("Adatbázis hiba!");  
  12. $parancs = "UPDATE accounts SET admin='2' WHERE username='".$_POST['adminfel']."'";    
  13. mysql_query($parancs);  
  14. echo '<meta http-equiv=refresh content="5">  
  15. <div id=profile_siker class=windowbg>Sikeresen hozzáadva.</div><br>';  
  16. }  
  17.   
  18.   
  19. <form method="POST">  
  20.         <input type="submit" class="myButton" name="adminhozzaadas" value="Hozzáadás">  
  21. </form>   
‹ tábla azonos nevű oszlopának összeadása különböző feltételek szerint Mysql érték sorbarendezés valuta árfolyam váltással,feltételekkel ›
 
1

Két külön form

Pepita · 2013. Okt. 5. (Szo), 02.25
Esetleg kipróbálhatnád, hogy a submit gomb ugyanabban a form-ban van, mint a bevitt adat.

Ugyanis a böngésződ azt a formot fogja _POST metódusban elküldeni, amelyiket szubmittáltad, a másikat nem.

De az egész valami innen-onnan letöltött, HTML és SQL hibáktól hemzsegő katyvasznak tűnik, ne haragudj. Minden escape nélkül, stb, stb.

Szerintem találsz itt cikket felhasználókezelésről is, inkább azt tanulmányozd előbb.
És kellene némi HTML-utánpótlás is: attribútumok értéke idézőjelben, a sortörés <br />, és ma már elenyésző azon helyek száma, ahol használandó.
Az sem egy jó megoldás, hogy "saját magát dolgozza fel" a script.

Jópár dolognak utána kéne nézz. Cikkajánló by Hídvégi Gábor.

Nyugi, mindenki kezdőként kezdte, sok olvasással.
2

Kezdő

wreakz · 2013. Okt. 5. (Szo), 09.34
Köszönöm az ötletet, Azert nem escape elem mível az oldalt egy felhasznaló tudja megtekinteni, és nem hinnem hogy sql injectiont fog vegrehajtani. Amit hazaertem újra értelmezem, és az ötleted alapjám újraírom.
---------------
Köszönöm még 1x, igen ez volt a hiba hogy külön <form>-ba voltak !
3

Örülök neki,

Pepita · 2013. Okt. 5. (Szo), 23.24
hogy sikerült, azért a cikkeket se felejtsd. Szerintem az nem egy egészséges felfogás, hogy
egy felhasznaló tudja megtekinteni,
mert mi lesz később, mikor többen lesznek? De ha soha nem lesznek többen, akkor is felhasználótól bejövő adatot mindig escape-elni kell. Pont. (A mindenféle más támadási lehetőségekről nem is beszélve...) Ezért olvass cikkeket, ebben a szakmában folyamatosan tanulni kell.
4

Hátha

wreakz · 2013. Okt. 6. (V), 16.04
Hátha még valaki hasznát veszi.
  1. if( isset( $_POST['adminhozzaadas'] ) )  
  2. {  
  3. if($_POST['adminfel']=='')  
  4. echo'<div id="profile_hiba" class="windowbg">Kérlek tölsd ki a mezőt !</div>';  
  5. else {  
  6. $felhasznalo = mysql_real_escape_string($_POST['adminfel']);  
  7. $szint = mysql_real_escape_string($_POST['adminszint']);  
  8. $parancs = "UPDATE accounts SET admin='".$szint."' WHERE username='".$felhasznalo."'";    
  9. mysql_query($parancs);  
  10. echo '<meta http-equiv=refresh content="2">  
  11. <div id=profile_siker class=windowbg> '.$felhasznalo.' nevű felhasználó sikeresen hozzáadva az adminokhoz !</div><br>';  
  12. }  
  13. }