PHP/MySQL-Login - Register Script mit Adminfunktion

tron · 1. September 2008, 00:20

Hallo Forum,

ich habe ein Tutorial als Grundlage genommen von php-einfach.de/tuts_mysql_login.php und etwas erweitert. Ich würde die Admin-Funktion aber gerne über die vorhandene Datenbank aufrufen können und in das Login-Script somit eine Rang-Funktion einbauen. Leider habe ich keine Ahnung, wie das gehen würde. Auch würde ich mich freuen, wenn Ihr das Script mal auf Fehler und Sicherheitslöcher testen würdet.

Über Lösungsvorschläge und Denkansätze würde ich mich sehr freuen.

Tron

philippgerard · 1. September 2008, 11:59

Benutzergruppe: MySQL-Feld is_admin ENUM('0','1'); (DEFAULT '0')

Benutzergruppe feststellen:

Quellcode

function isAdmin($userid){ $r = sql_irgendwas("SELECT is_admin FROM users WHERE userid = ...");
return ($r[0]["is_admin"] == '1') ? TRUE : FALSE;
}

Logindaten via de.php.net/features.http-auth empfangen

Login überprüfen

Prüfen ob is_admin = 1

Fertig

tron · 1. September 2008, 16:22

Ah, ok, danke für den Ansatz. Aber ich habe noch ein weiteres Problem. Irgendwie wird bei mir die Variable "id" nicht richtig per get übergeben und ich finden den Fehler nicht:

admin.php:

Quellcode

<?php
include("./config.php");
?>
<table border=0 cellspacing=1 cellpadding=2 width=900>
<tr>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>ID</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>User</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>IP</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>eMail</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Passwort (md5)</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Reg.-Datum</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Reg.-Zeit</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Edit</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Del</td>
</tr>
<?php
$sql = "SELECT * FROM members ORDER BY id ASC";
$ausgabe=mysql_query($sql);
while ($members = mysql_fetch_object ($ausgabe))
{
?>
<form method="GET" action="member">
<tr>
<td><font face="verdana" size=2><?php echo($members->id); ?></td>
<td><font face="verdana" size=2><?php echo($members->username); ?></td>
<td><font face="verdana" size=2><?php echo($members->ip); ?></td>
<td><font face="verdana" size=2><?php echo($members->email); ?></td>
<td><font face="verdana" size=2><?php echo($members->passwort); ?></td>
<td><font face="verdana" size=2><?php echo($members->date); ?></td>
<td><font face="verdana" size=2><?php echo($members->time); ?></td>
<td><font face="verdana" size=2><?php print "<a href=\"useredit.php&id=$members->id\">Edit</a>"; ?></td>
<td><font face="verdana" size=2><?php print "<a href=\"userdelete.php&id=$members->id\">Del</a>"; ?></td>
</tr>
</form>
<?php
}
?>
</table>

Alles anzeigen

useredit.php:

Quellcode

<?php
include("./config.php");
$sql = "SELECT * FROM members ORDER BY id ASC";
////////////////////////////////////////
///// Hier nehmen wir die ID entgegen///
////////////////////////////////////////
$id = $_GET['id'];
$sql = "SELECT * FROM members WHERE id = '$id'";
$ausgabe = mysql_query($sql);
$data = mysql_fetch_array($ausgabe);
?>
<center>
<font face="verdana" size=2>
<font size=+3><b>User editieren</b></font>
<br /><br />
<form action="usereditaction.php" method="post">
<table border=0 cellspacing=2 cellpadding=2>
<tr><td><font face="verdana" size=2>
ID:</td><td><input type="text" name="username" size="24" value="<?php echo $data['id']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
User:</td><td><input type="text" name="username" size="24" value="<?php echo $data['username']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
eMail:</td><td><input type="text" name="username" size="24" value="<?php echo $data['email']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
Passwort:</td><td><input type="text" name="username" size="24" value="<?php echo $data['passwort']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
IP:</td><td><input type="text" name="username" size="24" value="<?php echo $data['ip']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
Reg.-Datum:</td><td><input type="text" name="username" size="24" value="<?php echo $data['date']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
Reg.-Zeit:</td><td><input type="text" name="username" size="24" value="<?php echo $data['time']; ?>">
</td></tr></table>
<input type="submit" value="User editieren">
<input type="hidden" name="id" value="<?php echo $data['id'] ?>" />
</form>
<?php
$result = mysql_query($sql) OR die("Query: <pre>".$sql."</pre>\n". "Beschreibung: ".mysql_error());
?>

Alles anzeigen

Wenn ich in der useredit.php zum Test:

Quellcode

$id = "1";

schreibe, dann liest er mir die Daten korrekt ein von ID 1

Tron

dynambee · 1. September 2008, 17:10

Kleiner aber feiner Fehler. Der erste Parameter in einem URI wird immer mit ? übergeben:

Quellcode

<?php echo '<a href="useredit.php?id='.$members->id.'">Edit</a>'; ?>

An deinem Script sind viele Sachen nicht gerade rund. Habe aber leider gerade keine Zeit mehr, ausführlich zu werden.

tron · 1. September 2008, 19:16

Hallo dynambee,

dank Dir, wieder etwas gelernt. MySQL ist immer noch nicht so mein Ding aber langsam geht`s voran. Also für Tipps bin ich immer dankbar oder für Tricks, wie man es besser machen kann. Die HTML-Formatierungen kommen noch raus. Das wird dann alles über einen Header und ner CSS-Datei geregelt.

Das ganze sieht jetzt so aus und funktioniert:

useradmin.php:

Quellcode

<?php
include("./config.php");
?>
<center>
<font face="verdana" size=2>
<font size=+3><b>Admin</b></font>
<br /><br />
<table border=0 cellspacing=1 cellpadding=2 width=900>
<tr>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>ID</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>User</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>IP</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>eMail</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Passwort (md5)</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Reg.-Datum</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Reg.-Zeit</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Edit</td>
<td bgcolor=#C0C0C0 background="border.png"><font face="verdana" size=2>Del</td>
</tr>
<?php
$sql = "SELECT * FROM members ORDER BY id ASC";
$ausgabe=mysql_query($sql);
while ($members = mysql_fetch_object ($ausgabe))
{
?>
<form method="GET" action="useredit">
<tr>
<td><font face="verdana" size=2><?php echo($members->id); ?></td>
<td><font face="verdana" size=2><?php echo($members->username); ?></td>
<td><font face="verdana" size=2><?php echo($members->ip); ?></td>
<td><font face="verdana" size=2><?php echo($members->email); ?></td>
<td><font face="verdana" size=2><?php echo($members->passwort); ?></td>
<td><font face="verdana" size=2><?php echo($members->date); ?></td>
<td><font face="verdana" size=2><?php echo($members->time); ?></td>
<td><font face="verdana" size=2><?php print '<a href="useredit.php?id='.$members->id.'">Edit</a>'; ?></td>
<td><font face="verdana" size=2><?php print '<a href="userdelete.php?&id='.$members->id.'">Del</a>'; ?></td>
</tr>
</form>
<?php
}
?>
</table>

Alles anzeigen

useredit.php:

Quellcode

<?php
include("./config.php");
$sql = "SELECT * FROM members ORDER BY id ASC";
////////////////////////////////////////
///// Hier nehmen wir die ID entgegen///
////////////////////////////////////////
$id = $_GET['id'];
$sql = "SELECT * FROM members WHERE id = '$id'";
$ausgabe = mysql_query($sql);
$data = mysql_fetch_array($ausgabe);
?>
<center>
<font face="verdana" size=2>
<font size=+3><b>User editieren</b></font>
<br /><br />
<form action="uedit.php" method="post">
<table border=0 cellspacing=2 cellpadding=2>
<tr><td><font face="verdana" size=2>
ID:</td><td><font face="verdana" size=2><?php echo $data['id']; ?>
</td></tr>
<tr><td><font face="verdana" size=2>
User:</td><td><input type="text" name="username" size="24" value="<?php echo $data['username']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
eMail:</td><td><input type="text" name="email" size="24" value="<?php echo $data['email']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
Passwort:</td><td><input type="text" name="passwort" size="24" value="<?php echo $data['passwort']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
IP:</td><td><input type="text" name="ip" size="24" value="<?php echo $data['ip']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
Reg.-Datum:</td><td><input type="text" name="date" size="24" value="<?php echo $data['date']; ?>">
</td></tr>
<tr><td><font face="verdana" size=2>
Reg.-Zeit:</td><td><input type="text" name="time" size="24" value="<?php echo $data['time']; ?>">
</td></tr></table>
<input type="submit" value="User editieren">
<input type="hidden" name="id" value="<?php echo $data['id'] ?>" />
</form>

Alles anzeigen

uedit.php:

Quellcode

<?php
include("./config.php");
$sql = "SELECT * FROM members ORDER BY id ASC";
$id = $_POST["id"];
$username = $_POST["username"];
$email = $_POST['email'];
$passwort = $_POST['passwort'];
$ip = $_POST['ip'];
$date = $_POST['date'];
$time = $_POST['time'];
if (!get_magic_quotes_gpc()) {
$username = addslashes($username);
$email = addslashes($email);
$passwort = addslashes($passwort);
$ip = doubleval($ip);
$date = doubleval($date);
$time = doubleval($time);
}
$sql="UPDATE members SET username = '".$username."', email = '".$email."', passwort = '".$passwort."', ip = '".$ip."', date = '".$date."', time = '".$time."' WHERE id = ".$id;
echo '<center><font face="verdana" size=2>Benutzer '.$_POST['username'].' mit der ID '.$_POST['id'].' wurde erfolgreich bearbeitet';
echo '<br /><br /><a href="useradmin.php">zurück</a>';
$result = mysql_query($sql) OR die("Query: <pre>".$sql."</pre>\n". "Beschreibung: ".mysql_error());
?>

Alles anzeigen

userdelete.php:

Quellcode

<?php
include("./config.php");
$sql = "SELECT * FROM members ORDER BY id ASC";
$id = $_GET["id"];
echo '<center><font face="verdana" size=2>Benutzer mit der ID '.$_GET['id'].' erfolgreich gelöscht';
$sql = "DELETE FROM `members` WHERE `members`.`id` =$id LIMIT 1";
echo '<br /><br /><a href="useradmin.php">zurück</a>';
$result = mysql_query($sql) OR die("Query: <pre>".$sql."</pre>\n". "Beschreibung: ".mysql_error());
?>

Alles anzeigen

Tron

PHP/MySQL-Login - Register Script mit Adminfunktion

PHP/MySQL-Login - Register Script mit Adminfunktion

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Teilen

Benutzer online 1

Tags