как запретить смотреть данные другому пользователю

@Братуха · Регистрация: 15.07.2012

Студворк — интернет-сервис помощи студентам

Привет всем. У меня возник вопрос по передаче данных методом GET. В личном кабинете я формирую ссылки вот таким способом

PHP
1
2
3
4
 while($row = mysql_fetch_array($res)) 
{
 echo " <a href=\"/register/personal_list?id=".$row['id']."\">".$row['name']." ".$row['patronymic']."</a>";
    }

так вот на страничке personal_list все данные выводятся в соответствии с полученными GET данными, но это личная информация и никто не должен видеть эти данные. Получается любой пользователь может заменить GET данные в браузерной строке и получить данные о пользователе. Как мне решить эту проблему. Зарание большое спасибо.

KOPOJI · 02.10.2012, 16:49

проверять данные сессий/кук

crautcher · 02.10.2012, 16:49

ну в /register/personal_list?id=id нужно смотреть , есть ли права на просмотр и только тогда выводить

@Братуха · 02.10.2012, 17:04 **[ТС]**

Вот у меня делается запрос к бд, он все равно там нужен, оттуда я извлекаю данные ID и сравниваю с $_SESSION['id'] если совпадает вывожу информацию, если нет - вывожу ошибку. Так или я не так понял

crautcher · 02.10.2012, 17:08

Сообщение от Братуха

ID и сравниваю с $_SESSION['id'] если совпадает вывожу информацию, если нет - вывожу ошибку

ну в таком случае если кто-то изменит гет параметр , пока у него не будет нужный id в сессии ему ничего не покажется

KOPOJI · 02.10.2012, 17:08

зачем что то извлекать и сравнивать? подсчитать только и нужно

PHP
1
2
3
4
5
6
7
8
9
10
11
$id = (int) $_SESSION['id'];
$query = 'SELECT COUNT(*) FROM `users` WHERE `id`="'.$id.'"';
$res = mysql_query($query);
if($res)
  $data = mysql_fetch_array($res,MYSQL_NUM);
if(empty($data[0])) {
#не найдено
}
else {
#.....
}

@Братуха · 02.10.2012, 19:04 **[ТС]**

Сообщение от KOPOJI

зачем что то извлекать и сравнивать? подсчитать только и нужно

PHP
1
2
3
4
5
6
7
8
9
10
11
$id = (int) $_SESSION['id'];
$query = 'SELECT COUNT(*) FROM `users` WHERE `id`="'.$id.'"';
$res = mysql_query($query);
if($res)
  $data = mysql_fetch_array($res,MYSQL_NUM);
if(empty($data[0])) {
#не найдено
}
else {
#.....
}

Помогите обеденить то что Вы предложили и вот это

PHP
1
2
3
4
5
6
7
     $id_get = $_GET['id'];
        $res = mysqlQuery("SELECT *
                           FROM  `user`
                           WHERE `id` = ".$id_get );    
    
        if(mysql_num_rows($res) > 0)
            $data = htmlChars(mysql_fetch_assoc($res));

Как не пытался то выходило, что это не мой профиль, хотя все нормально было, то засыпало ошибками. На страничке других запросов нет

Добавлено через 51 минуту
Все делал правильно, но забыл написать кавычки в условии.

KOPOJI · 02.10.2012, 21:24

что там сложного в совмещении было?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$id_get = (int) $_GET['id'];
if($id_get != $_SESSION['id'])
  die('Отказано в доступе!');
 
$res = mysqlQuery("SELECT COUNT(*) FROM  `user`  WHERE `id` = '".$id_get.'"' );
 
if($res)
    $data = mysql_fetch_array($res,MYSQL_NUM);
 
if(empty($data[0])) { #не нашли юзера
//.........
}
else { #нашли юзера
//..........
}

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	02.10.2012, 16:49
	проверять данные сессий/кук 1

crautcher 2450 / 2301 / 597 Регистрация: 27.05.2011 Сообщений: 7,844
	02.10.2012, 16:49
	ну в /register/personal_list?id=id нужно смотреть , есть ли права на просмотр и только тогда выводить 1

@Братуха 5 / 5 / 5 Регистрация: 15.07.2012 Сообщений: 773
	02.10.2012, 17:04 [ТС]
	Вот у меня делается запрос к бд, он все равно там нужен, оттуда я извлекаю данные ID и сравниваю с $_SESSION['id'] если совпадает вывожу информацию, если нет - вывожу ошибку. Так или я не так понял 0