编辑其他用户的用户信息
埃德玛尔
抱歉,我是PHP MYSQL的初学者。我想问一下这将如何工作。我可以知道如何解决此问题,还是要添加什么代码?
场景:我们具有用户类型ADMIN和NORMAL USER,我创建了edit.php来将用户帐户作为ADMIN进行编辑,以防丢失密码等。但是当我单击特定表中的Edit按钮时,我遇到了问题。
参见下面的图片,我以admin身份employee.php登录到此处。所以我选择ID为22的用户testFN 
我在这里用来获取ID的代码在这里:
<td><a href="edit.php?id=<?php echo $row['user_id']; ?>" >Edit</a></td>
当我单击EDIT按钮时,它将打开带有该URL的页面edit.php。
所以我的结果不等于我想要的,输入框的信息来自我正在使用/登录的用户,而不是我选择编辑的用户。
我以前用于EDIT.PHP的代码在这里:
<?php
session_start();
include_once 'dbconnect.php';
if(!isset($_SESSION['user']))
{ header("Location: edit.php"); }
$res=mysql_query("SELECT * FROM accounts WHERE user_id=".$_SESSION['user']);
$userRow=mysql_fetch_array($res);
if(isset($_GET['user'])) {
$id = $_GET['user'];
if(isset($_POST['submit'])) {
$pass = md5(mysql_real_escape_string($_POST['pass']));
$aFName = mysql_real_escape_string($_POST['aFName']);
$aLName = mysql_real_escape_string($_POST['aLName']);
$aMName = mysql_real_escape_string($_POST['aMName']);
$aContact = mysql_real_escape_string($_POST['aContact']);
$aAddress = mysql_real_escape_string($_POST['aAddress']);
$aGender = mysql_real_escape_string($_POST['aGender']);
$utype = mysql_real_escape_string($_POST['utype']);
$query3=mysql_query("UPDATE accounts SET pass='$pass', agentFName ='$aFName', agentLName = '$aLName',
agentMName = '$aMName', agentContact = '$aContact', agentAddress = '$aAddress',
agentGender = '$aGender', user_type = '$utype' ");
if($query3)
{ header("Location: home.php"); }
}//end of post sumbit
}//end of GET
?>
/** HTML IS HERE **/
Agent ID: <input type="text" id="agentCode" name="agentCode" required="required" value="<?php echo $userRow['user_id']; ?>" >
First Name: <input type="text" id="agentCode" name="aFName" required="required" value="<?php echo $userRow['agentFname']; ?>" >
Middle Name: <input type="text" id="agentCode" name="aMName" required="required" value="<?php echo $userRow['agentMname']; ?>" >
Last Name: <input type="text" id="agentCode" name="aLName" required="required" value="<?php echo $userRow['agentLname']; ?>" >
大卫
在此处设置该文本输入的值:
value="<?php echo $userRow['user_id']; ?>"
哪里$userRow来的?这个:
$userRow=mysql_fetch_array($res);
使用哪个查询来获取数据?这个:
$res=mysql_query("SELECT * FROM accounts WHERE user_id=".$_SESSION['user']);
所以...您是从登录的会话用户那里获取数据,而不是从查询字符串中指定的数据获取数据。只需使用查询字符串值而不是会话值即可。
重要的:
直接在SQL查询中使用用户提供的值称为SQL注入漏洞。这是非常不好的事情。您将要使用查询参数和准备好的语句。这是开始阅读的好地方。
你真的会想检查是否已登录用户被授权来编辑指定的用户,允许他们这样做了。任何用户都可以手动添加/更改查询字符串值或POST值,或者基本上可以添加/更改来自客户端的任何内容。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
编辑于
相关文章
TOP 榜单
- 1
UITableView的项目向下滚动后更改颜色,然后快速备份
- 2
Linux的官方Adobe Flash存储库是否已过时?
- 3
用日期数据透视表和日期顺序查询
- 4
应用发明者仅从列表中选择一个随机项一次
- 5
Mac OS X更新后的GRUB 2问题
- 6
验证REST API参数
- 7
Java Eclipse中的错误13,如何解决?
- 8
带有错误“ where”条件的查询如何返回结果?
- 9
ggplot:对齐多个分面图-所有大小不同的分面
- 10
尝试反复更改屏幕上按钮的位置 - kotlin android studio
- 11
如何从视图一次更新多行(ASP.NET - Core)
- 12
计算数据帧中每行的NA
- 13
蓝屏死机没有修复解决方案
- 14
在 Python 2.7 中。如何从文件中读取特定文本并分配给变量
- 15
离子动态工具栏背景色
- 16
VB.net将2条特定行导出到DataGridView
- 17
通过 Git 在运行 Jenkins 作业时获取 ClassNotFoundException
- 18
在Windows 7中无法删除文件(2)
- 19
python中的boto3文件上传
- 20
当我尝试下载 StanfordNLP en 模型时,出现错误
- 21
Node.js中未捕获的异常错误,发生调用
我来说两句