Anmelden
Mittwoch, 26. Mai 2010, 02:56
PHPKIT USERNAME im Formular automatisch speichern
Hallo Leute.
Hier hab ich ein kleines Formular erstellt, in dem ein User einen Text speichern kann.
Leider muss der User seinen Namen angeben, was bei vielen Teammitgliedern auch schnell missbraucht werden kann, da man nicht nicht wissen kann, dass auch wirklich der USER Marcel=Marcel ist.
Welchen Code könnte man wo einbauen, dass er aus dem Formularfeld ohne Nickeingabe den Usernick speichert, mit dem er online ist.
Hier ist mein code:
Vielen Dank für eure Hilfe
Hier hab ich ein kleines Formular erstellt, in dem ein User einen Text speichern kann.
Leider muss der User seinen Namen angeben, was bei vielen Teammitgliedern auch schnell missbraucht werden kann, da man nicht nicht wissen kann, dass auch wirklich der USER Marcel=Marcel ist.
Welchen Code könnte man wo einbauen, dass er aus dem Formularfeld ohne Nickeingabe den Usernick speichert, mit dem er online ist.
Hier ist mein code:
|
PHP-Quelltext |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
<?php
if ($checkprofil['spezial_field']="Radiomoderator" or $USER['status']="admin") {
if (isset($_POST['action'])) $ACTION=$_POST['action'];
else $ACTION='view';
$userinfo=$DB->fetch_array($DB->query("SELECT * FROM ".$db_tab['user']." WHERE user_id='".intval($USER['id'])."'"));
if ($ACTION==$_POST['save']) {
$DB->query("INSERT INTO ".$db_tab['modwrite']." (modwrite_nick, modwrite_text) VALUES (
'".$_REQUEST['modwrite_nick']."',
'".$_REQUEST['modwrite_text']."')");
header("Location: include.php?path=crew/modwrite/modwrite.php");
}
eval ("\$site_body.=\"".templateinclude("crew/modwrite/modwrite_new")."\";");
}
?>
|
Vielen Dank für eure Hilfe
Mittwoch, 26. Mai 2010, 07:16
zunächst einmal brauchst du das $_REQUEST nicht. verwende dazu doch $_POST
zum anderen kannst du für den username $USER['nick'] verwenden. diese variable ist ein globale und wird innerhalb vom phpkit überall erkannt.
im punkto sicherheit würde ich für den eingabetext folgendes verwenden:
htmlentities($_POST['modwrite_text'])
des weiteren:
if ($checkprofil['spezial_field']="Radiomoderator" or $USER['status']="admin"){
woher erkennt er das profilfeld, ohne das es abgefragt wird? ($checkprofil['spezial_field'])
außerdem fehlen bei beiden jeweils ein =
sprich zb:
if ($checkprofil['spezial_field']=="Radiomoderator" || $USER['status']=="admin"){
nächste:
wozu die komplette user tabelle auslesen?
sehe keine einzige verwendete variable im code von dir.
so das wars erstmal
zum anderen kannst du für den username $USER['nick'] verwenden. diese variable ist ein globale und wird innerhalb vom phpkit überall erkannt.
im punkto sicherheit würde ich für den eingabetext folgendes verwenden:
htmlentities($_POST['modwrite_text'])
des weiteren:
if ($checkprofil['spezial_field']="Radiomoderator" or $USER['status']="admin"){
woher erkennt er das profilfeld, ohne das es abgefragt wird? ($checkprofil['spezial_field'])
außerdem fehlen bei beiden jeweils ein =
sprich zb:
if ($checkprofil['spezial_field']=="Radiomoderator" || $USER['status']=="admin"){
nächste:
wozu die komplette user tabelle auslesen?
sehe keine einzige verwendete variable im code von dir.
so das wars erstmal
Mittwoch, 26. Mai 2010, 11:16
=(
Hab den Code nun so geändert, aber nun spreichert er garnichts in die Datenbank =(
|
|
PHP-Quelltext |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
<?php
if ($checkprofil['spezial_field']="Radiomoderator" or $USER['status']="admin") {
if (isset($_POST['action'])) $ACTION=$_POST['action'];
else $ACTION='view';
if ($ACTION==$_POST['save']) {
$DB->query("INSERT INTO ".$db_tab['modwrite']." VALUES (
'".htmlentities($_POST['modwrite_text'])."',
'".htmlentities($USER['modwrite_nick'])."'
)");
header("Location: include.php?path=crew/modwrite/modwrite.php");
}
eval ("\$site_body.=\"".templateinclude("crew/modwrite/modwrite_new")."\";");
}
?>
|
Mittwoch, 26. Mai 2010, 15:28
|
|
PHP-Quelltext |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
<?
// Abfrage für das Spezial Profilfeld
$checkprofil=$DB->fetch_array($DB->query("SELECT spezial_field FROM ".$db_tab['user']." WHERE user_id='".intval($USER['id'])."'"));
if (getrights(admin) || $checkprofil['spezial_field']=="Radiomoderator")
{
if (isset($_POST['action'])) $ACTION=$_POST['action'];
else $ACTION='view';
if ($ACTION==$_POST['save'])
{
$DB->query("INSERT INTO ".$db_tab['modwrite']." (modwrite_nick, modwrite_text) VALUES (
'".$USER['nick']."',
'".htmlentities($_POST['modwrite_text'])."')");
header("Location: ?path=crew/modwrite/modwrite.php");
}
eval ("\$site_body.=\"".templateinclude("crew/modwrite/modwrite_new")."\";");
}
?>
|
Ähnliche Themen
-
Web | Programmierung »-
Abschicken
(10. Mai 2009, 14:04)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
user abfragen
(21. April 2009, 18:13)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
Avatar beim Upload automatisch verkleinern
(6. Januar 2008, 06:58)
-
- Web | Programmierung »
-
Frage zu folgendem PHP-Code
(2. April 2008, 23:47)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
username und bbcode in formular einfügen
(25. Januar 2008, 14:57)
