防止用户互相编辑条目答案

【问题标题】：Prevent users to edit eachother entries防止用户互相编辑条目
【发布时间】：2015-07-03 23:45:35
【问题描述】：

我有一个允许用户向数据库注册条目的 PHP 脚本。条目是自动递增的。我发现，用户#A 可以通过将 url 从 edit.php?id=2 更改为 id=1 来从用户#B 获取条目。

我当然想阻止这种情况。所以我的想法是：如果 mysql 条目中的用户 ID 字段与我的 php 脚本中的 $_SESSION['user_id'] 匹配，则允许编辑。

用户应该只能编辑他们自己发布的条目。

实现这一目标的最佳和最有效的方法是什么？

<?php $bruker = $_SESSION['user_id']; ?>

<?php }
/*
   EDIT RECORD
*/
// if the 'id' variable is set in the URL, we know that we need to edit a record
if (isset($_GET['id']))
{
    // if the form's submit button is clicked, we need to process the form
    if (isset($_POST['submit']))
    {
        // make sure the 'id' in the URL is valid
        if (is_numeric($_POST['id']))
        {
            // get variables from the URL/form
            $id = $_POST['id'];
            $elv = htmlentities($_POST['elv'], ENT_QUOTES);
            $vald = htmlentities($_POST['vald'], ENT_QUOTES);
            $art = htmlentities($_POST['art'], ENT_QUOTES);
            $dato = htmlentities($_POST['dato'], ENT_QUOTES);
            $vekt = (int)$_POST['vekt'];
            $lengde = (int)$_POST['lengde'];
            $flue = htmlentities($_POST['flue'], ENT_QUOTES);
            $gjenutsatt = (int)$_POST['gjenutsatt'];
            $kjonn = (int)$_POST['kjonn'];
            $bilde = htmlentities($_POST['bilde'], ENT_QUOTES);
            $user = $_SESSION['user_id'];

            // check that required fields are not empty
            if ($elv == '' || $vald == '' || $art == '' || $dato == '' || $vekt == '' || $kjonn == '')
            {
                // if they are empty, show an error message and display the form
                $error = 'Du må fylle ut de påkrevde feltene!';
                renderForm($elv, $vald, $art, $dato, $vekt, $lengde, $flue, $gjenutsatt, $kjonn, $bilde, $user, $error, $id);
            }
            else
            {
                // if everything is fine, update the record in the database
                if ($stmt = $mysqli->prepare("UPDATE fisk SET elv = ?, vald = ?, art = ?, dato = ?, vekt = ?, lengde = ?, flue = ?, gjenutsatt = ?, kjonn= ?, bilde = ?, user = ?
                    WHERE id=?"))
                {
                    $stmt->bind_param("ssssiisiisii", $elv, $vald, $art, $dato, $vekt, $lengde, $flue, $gjenutsatt, $kjonn, $bilde, $user, $id);
                    $stmt->execute();
                    $stmt->close();
                }
                // show an error message if the query has an error
                else
                {
                    echo "ERROR: could not prepare SQL statement.";
                }

                // redirect the user once the form is updated
                header("Location: /");
            }
        }
        // if the 'id' variable is not valid, show an error message
        else
        {
            echo "Error!";
        }
    }
    // if the form hasn't been submitted yet, get the info from the database and show the form
    else

【问题讨论】：

select data,you,need from thetable where recordID=$foo AND userID=$currentuser。如果不是正确的用户，他们可以随意破解 url，他们将永远无法编辑任何记录数据。
另外你在编辑数据的时候应该避免使用GET字段，防止普通人乱输入

标签： php mysql authentication

【解决方案1】：

假设您的用户拥有唯一的 ID，您只需在 SQL 中添加额外的 WHERE 子句：

if ($stmt = $mysqli->prepare("UPDATE fisk SET elv = ?, vald = ?, art = ?, dato = ?, vekt = ?, lengde = ?, flue = ?, gjenutsatt = ?, kjonn= ?, 图片 = ?, 用户 = ? 在哪里 id=？ AND created_user = ?"))

显然将created_user 替换为用于存储创建条目的用户ID 的列。

这样，它只会更新试图编辑它的用户创建的行。

更安全的是，您可以通过首先查询相关行的已创建用户 ID，然后按照您的建议将其与您的用户 ID $_SESSION 进行检查来防止他们看到该页面 - 然后在脚本之前终止脚本或重定向它们进入查询。

【讨论】：

如果他们没有首先创建页面，我可能应该阻止他们看到页面。否则，表单将返回其他用户的内容。所以我会在第一个 if 语句附近添加一个查询？
就在页面的顶部，检查他们是否有权编辑该项目 - 如果没有将他们送走或杀死它