Не могу поставить защиту на данные

@Pintelka · Регистрация: 24.10.2012

Студворк — интернет-сервис помощи студентам

Возникла такая проблема, когда заходим от админа, на редактирование копируем адресную строку, выходим заходим от пользователя у него только просмотр возможен, вставляем в адресную строку ссылку и он как будто заходит от админа и попадает на редактирование. А так не должно быть. Как сделать помогите...

@AmsTaFFix · 20.12.2013, 11:56

вы разве не можете вставить код в тему свою?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
<?php
session_start();
mysql_connect("localhost", "root");
mysql_select_db("knigi");
 
if (isset($_POST['login']) && isset($_POST['password'])) $authorized=authorization($_POST['login'], $_POST['password']); // авторизация
 
$authorized=0; //если гость
if (isset($_SESSION['user_id'])){ // проверка сессии на существование
    $q = mysql_query("SELECT * FROM `users` WHERE `id`='{$_SESSION['user_id']}' LIMIT 1");
    $row = mysql_fetch_array($q);
    if (mysql_affected_rows()>0) 
        if($row['login']=='admin')
            $authorized=2; else $authorized=1;
 
}
if (isset($_GET['logout'])){ // выход
    if (isset($_SESSION['user_id'])) unset($_SESSION['user_id']);
    header('Location: 2_1.php');
    exit;
}
function authorization($login, $password) // функция авторизации
{
    $q   = mysql_query("SELECT `id` FROM `users` WHERE `login`='{$login}' AND `password`='{$password}' LIMIT 1");
    $row=mysql_fetch_array($q);
    if (mysql_affected_rows()>0) {
        $_SESSION['user_id']  = $row['id'];
        return 1;
    }
}
function a() // Список издательств
{
    global $authorized;
    echo '<table border="1">
    <tr><td><b>Издательство</b></td>
    <td><b>Город</b></td><td>
    <b>Год</b></td>';
    $qi = mysql_query("SELECT name,city,year,id FROM izdatelstvo ORDER BY name"); 
    while ($row = mysql_fetch_array($qi)) // выводим все строки циклом
        echo '<tr><td>'.($authorized==2?'<a title="удалить" href="?izd_del='.$row[3].'">[x]</a><a title="редактировать" href="?izd_edit='.$row[3].'">[e]</a>':'').$row[0] . '</td><td>' . $row[1] . '</td><td>' . $row[2] . '</td></tr>'; // 3 первых элемента из массива данных
echo '</table>';
} 
function b() //Список книг
{
    global $authorized;
    echo '<table border="1">
    <tr><td><b>Издательство</b></td>
    <td><b>Автор</b></td>
    <td><b>Название</b></td>
    <td><b>Год_Издательства</b></td>
    <td><b>Кол_Страниц</b></td>';
   $qi = mysql_query("SELECT a.name,b.author,b.name,b.yearizd,b.pages,b.id FROM izdatelstvo a, book b WHERE a.id=b.izd");
    while ($row = mysql_fetch_array($qi))
   echo '<tr><td>'.($authorized==2?'<a title="удалить" href="?book_del='.$row[5].'">[x]</a><a title="редактировать" href="?book_edit='.$row[5].'">[e]</a>':'').$row[0] . '</td><td>' . $row[1] . '</td><td>' . $row[2] . '</td><td>' . $row[3] . '</td><td>' . $row[4] . '</td></tr>';
echo '</table>';
}
 
function izd_add($id) // Добавить издательство
{
    global $authorized;
    if (isset($_GET['izdname']) && isset($_GET['cityname']) && isset($_GET['yearname']) && $authorized==2) 
        if($id==0)
        mysql_query("INSERT into izdatelstvo (name,city,year) VALUES ('{$_GET['izdname']}','{$_GET['cityname']}','{$_GET['yearname']}')");
        else
        mysql_query("UPDATE izdatelstvo SET name='{$_GET['izdname']}',city='{$_GET['cityname']}',year='{$_GET['yearname']}' WHERE id=".$id);
    
    if($id!=0) {
        $qi= mysql_query("SELECT * FROM izdatelstvo WHERE id=".$id);
        $result=mysql_fetch_array($qi); 
    }
     a(); 
    echo'<form method="get">
    <input type="text" name="izdname" value="'.$result[1].'" placeholder="Издательство">
    <input type="text" name="cityname" value="'.$result[2].'" placeholder="Город">
    <input type="text" name="yearname" value="'.$result[3].'" placeholder="Год">
    <input type="hidden" name="izd_edit" value="'.$result[0].'">
    <input type="submit">
    </form>';
} 
 
if (isset($_GET['izd_del']) && $authorized==2) {// Удалить издательство
 
        mysql_query("DELETE FROM izdatelstvo WHERE id={$_GET['izd_del']}");
        header('Location: 2_1.php?izd_add');
} 
 
if (isset($_GET['book_del']) && $authorized==2) {// Удалить книгу
 
        mysql_query("DELETE FROM book WHERE id={$_GET['book_del']}");
        header('Location: 2_1.php?book_add');
} 
 
function book_add($id) // Добавить книгу
{
    global $authorized;
    if (isset($_GET['bookauthor']) && isset($_GET['bookname']) && isset($_GET['bookizd']) && isset($_GET['bookyearizd']) && isset($_GET['bookyearizd']) && isset($_GET['bookpages']) && $authorized==2) 
        if($id==0)
         mysql_query("INSERT into book (author,name,izd,yearizd,pages) VALUES ('{$_GET['bookauthor']}','{$_GET['bookname']}','{$_GET['bookizd']}','{$_GET['bookyearizd']}','{$_GET['bookpages']}')");
             else
          mysql_query("UPDATE book SET author='{$_GET['bookauthor']}',izd='{$_GET['bookizd']}',name='{$_GET['bookname']}',yearizd='{$_GET['bookyearizd']}',pages='{$_GET['bookpages']}' WHERE id=".$id);
 
     b(1); 
 
       if($id!=0) {
        $qi= mysql_query("SELECT * FROM book WHERE id=".$id);
        $result=mysql_fetch_array($qi); 
    }
 
    echo'<form method="get" size="auto"><select name="bookizd">';
 $qi = mysql_query("SELECT id,name FROM izdatelstvo"); 
    while ($row = mysql_fetch_array($qi)) // выводим все строки циклом
        echo '<option '.($id>0 && $result[3]==$row[0]?'selected':'').' value="'.$row[0] . '">'.$row[1] . '</option>';
 
    echo'</select>
    <input type="text" name="bookauthor" value="'.$result[1].'" placeholder="Автор">
    <input type="text" name="bookname" value="'.$result[2].'" placeholder="Название">
    <input type="text" name="bookyearizd" value="'.$result[4].'" placeholder="Год издания">
     <input type="text" name="bookpages" value="'.$result[5].'" placeholder="Кол-во страниц">
    <input type="hidden" name="book_edit" value="'.$result[0].'">
    <input type="submit">
    </form>';
} 
if($authorized!=0) echo'Привет, '.$row['login'].'<br><a href="?logout">Выход</a>'; else 
echo'<form method="post">
Логин:<input type="text" name="login">
Пароль:<input type="text" name="password">
<input type="submit"></form>';
 
echo'<form method="get"> 
<input type="submit" name="a"  value="Список издательств"><br>
<input type="submit" name="b"  value="Список книг"><br>
';
if($authorized==2) 
    echo '<br>
<input type="submit" name="izd_add"  value="Редактировать издательства"><br>
<input type="submit" name="book_add"  value="Редактировать книги"><br>
 
';
echo'</form>';
switch ($_GET) { // обработка отправленных данных
    case isset($_GET['a']):
        a();
        break; 
    case isset($_GET['b']):
        b($_GET['b1']);
        break; 
    case isset($_GET['izd_add']):
        izd_add(0);
        break;
    case isset($_GET['book_add']):
        book_add(0);
        break;
    case isset($_GET['izd_edit']):
        izd_add($_GET['izd_edit']);
        break;
    case isset($_GET['book_edit']):
        book_add($_GET['book_edit']);
        break;
    default:
}
 
?>

Новые блоги и статьи Все статьи Все блоги /
Автоматическое создание документа при проведении другого документа Maks 29.03.2026 Реализация из решения ниже выполнена на нетиповых документах, разработанных в конфигурации КА2. Есть нетиповой документ "ЗаявкаНаРемонтСпецтехники" и нетиповой документ "ПланированиеСпецтехники". В. . .	Настройка движения справочника по регистру сведений Maks 29.03.2026 Решение ниже реализовано на примере нетипового справочника "ТарифыМобильнойСвязи" разработанного в конфигурации КА2, с целью учета корпоративной мобильной связи в коммерческом предприятии. . . .	Автозаполнение реквизита при выборе элемента справочника Maks 27.03.2026 Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. При выборе "Спецтехники" (Тип Справочник. Спецтехника), заполняется. . .	Сумматор с применением элементов трёх состояний. Hrethgir 26.03.2026 Тут. https:/ / fips. ru/ EGD/ ab3c85c8-836d-4866-871b-c2f0c5d77fbc Первый документ красиво выглядит, но без схемы. Это конечно не даёт никаких плюсов автору, но тем не менее. . . всё может быть. . .
Автозаполнение реквизитов при создании документа Maks 26.03.2026 Программный код из решения ниже размещается в модуле объекта документа, в процедуре "ПриСозданииНаСервере". Алгоритм проверки заполнения реализован для исключения перезаписи значения реквизита,. . .	Команды формы и диалоговое окно Maks 26.03.2026 1. Команда формы "ЗаполнитьЗапчасти". Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. В качестве источника данных. . .	Кому нужен AOT? DevAlt 26.03.2026 Решил сделать простой ланчер Написал заготовку: dotnet new console --aot -o UrlHandler var items = args. Split(":"); var tag = items; var id = items; var executable = args;. . .	Отправка уведомления на почту при создании или изменении элементов справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной записи электронной. . .

Не могу поставить защиту на данные

Решение