ugrás a tartalomhoz

felhasználó létezik-e..

Termes · 2007. Jan. 27. (Szo), 17.48
Sziasztok.

Egy nagyon egyszerű megoldást szeretnék, mert megakadtam.

Egy adatmódosító ürlapot készítettem, amihez szükségem lenne egy hitelesítési részre, hogy az adott felhasználó csak a saját adatait módosíthassa.

Namost, ebben kérnék segítséget:

<?
include("dbconn.php");
if (isset($id)) {
$kezd = "SELECT * FROM user_system WHERE id=$id";
$go = mysql_query($kezd);
$kesz = mysql_fetch_array($go);


?>
<html>

<head>

<adatlap>

</head>

</html>
<?
} else {
echo "<html>
<head>
<title>Adatlap HIBA!</title>
</head>
<body>HIBA</body>
</html>
";
}
?>

Ha az illető a címsorban átírja az id-t, akkor máris máséban piszkálhat.
Gondoltam, hogy az id-t titkosítom és akkor ez megoldás lehetne, de az akkor is nyitott.

Választ előre is köszönöm.

Üdv.
T
 
1

session

Sulik Szabolcs · 2007. Jan. 27. (Szo), 19.23
Ha már felhasználók vannak, akkor valszeg van valamilyen authentikációs rendszered is.
Ha van, akkor a bejelentkezett felhasználó adatait session-ben tárolod (legalább az user id-t). És már meg is van a megoldás.

Az user id-t kliens oldalra küldeni, és onnan várni vissza ön- és közveszélyes megoldás. (Ahogy a register_globals használata is. Mért olyan nehéz azt kikapcsolni és anélkül élni?)
2

Hát

DsA · 2007. Feb. 2. (P), 17.08
Hát nemtudom, én ugy csinálnám meg ugy is szoktam, hogy
hogy a felhasználó nevet sessionbe teszem, és az alapján kérdezem le az adatokat pl:
$user = $db->sql_fetchrow($db->sql_query("SELECT * FROM pass WHERE `username`='{$_SESSION['username']}'"));

én így csinálom, és akkor a user tömbben csak az éppen aktuális felhasználó adatai vannak..