php - 正确的GET处理

I have file users.php and i want to display user's information when is set for example users.php?id=5

my "users.php" file is:

<?php 

$page_title = "Administrace - Uživatelé";
require_once($_SERVER['DOCUMENT_ROOT']."/core/main.php");

if(!Admin::is_admin() or !User::is_logged()) // check if user is logged and is admin
{
    redirect($url."index.php"); //get out of here
}

$user = new User();

if(isset($_GET["id"]))
{
    $id = test_input($_GET["id"]); // = htmlspecialchars() & trim() & stripslashes()
    $is_valid = ctype_digit($id);
    if($is_valid && $user->check_user_available($id)) // check if $id is number AND if user with the $id is in database
    {
        // show user's information
    } else {
        // get out of here
        redirect($url."admin/");
    }
} else {

?>

        <i>...toto je random text...</i>

        <section>
            <div class="content">
                <h1>Administrace -> Uživatelé</h1>
                <p>
                    <?php 
                    echo ($user->get_all_users()); // get all users (<a href="users.php?id=X">User</a>)
                    ?>
                </p>


            </div>
        </section>
            <aside>
            <?php
            $login = new Panel("login");
            $partneri = new Panel("partners");
            ?>
            </aside>


<?php  } require_once($_SERVER['DOCUMENT_ROOT']."/template/footer.php");?>

my check_user_availabe() function:

<?php
public function check_user_available($id)
{
    $id = trim($id);
    $id = stripslashes($id);
    $id = htmlspecialchars($id);
    if(ctype_digit($id))
    {
        $query = Database::dotaz('SELECT * FROM `users` WHERE `id`=?', array($id));
        if($query > 0)
        {
            return true;
        } else {
            return false;
        }
    }
}
?>

I'm also using PDO prepared statements.. Here is my class database and function dotaz() (dotaz = query)

<?php
class Database {

    // Databázové spojení
    private static $connection;

    // Výchozí nastavení ovladače
    private static $nastaveni = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8",
        PDO::ATTR_EMULATE_PREPARES => false,
    );

    // Připojí se k databázi pomocí daných údajů
    public static function connect($host, $username, $password, $dbname) {
        if (!isset(self::$connection)) {
            self::$connection = @new PDO(
                "mysql:host=$host;dbname=$dbname",
                $username,
                $password,
                self::$nastaveni
            );
        }
    }
    public static function dotaz($dotaz, $parametry = array()) {
        $navrat = self::$connection->prepare($dotaz);
        $navrat->execute($parametry);
        return $navrat->rowCount();
    }?>

Could you say me if the $_GET part is well-secured or help me to secure it better ? Thank you all

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

报告相同问题？

关注问题

$ _GET无法处理我的php javascript php
2015-08-09 00:18

回答 1 已采纳 You are trying to read the data inside uploadimage.php but the query string is on your request to
PHP - 如何处理方法调用 php
2015-06-25 18:32

回答 1 已采纳 IMHO it would depend on what you were doing after/within the if branch. If your plan is doing some
PHP - 子串处理[关闭] php
2015-06-22 23:02

回答 2 已采纳 You can do this with a simple regex, \d{4}. $splitted = preg_split('~\d{4}~', 'This.is.An.Example
php curlget方法_PHP cURL请求详解
2021-03-22 19:34

simmmmmmmcha的博客在PHP后端的开发过程中，除了获取数据库的数据和处理数据的内部逻辑，往往还需要请求其他服务器接口的数据，我们一般有3种方式来获取数据，分别是：file_get_contentsfsockopencurl3种常用的接口获取方式简述file_...
提取7z扩展 - PHP php
2018-07-03 18:08

回答 1 已采纳 to extract 7z extension you will need some kind of library, because ZipArchive() function is only
PHP - MySQLi处理查询两次或错误 html mysql php
2015-07-01 10:19

回答 2 已采纳 I would suggest you not to fetch all the usernames and check if there is a same Username via PHP.
在PHP中处理JSON响应 php
2018-04-18 10:33

回答 4 已采纳 Use foreach loop instead of for loop so change loop as: $data = json_decode($response, true);
PHP表单处理-GET与POST区别
2013-02-21 12:17

清枫草塘的博客 PHP表单处理 form表单的提交主要有两种方式：get和post GET方法接收的特点：所有输入的数据被加载到请求的URL地址后面，数据通过键/值对的方法加载。 GET方法接收的特点：把数据和请求的URL地址放在一起，浏览...
如何在PHP中处理动态路由？ php
2019-01-23 15:21

回答 2 已采纳 Since you have everything in $url, you can just use explode() Here's an example: $url = "users/1
PHP - 循环POST值N次 php
2016-11-30 06:35

回答 1 已采纳 You have to get the value through loops. if (isset($_POST['NumMedia']) && $_POST['NumMedia'] !==
设置自定义异常处理程序时，error_get_last（）在PHP 7中返回NULL php
2017-12-09 12:21

回答 1 已采纳 PHP 7 throws a ParseError exception instead of triggering an error of type E_PARSE. The default ex
PHP基础知识 - PHP 使用 MySQLI
2022-07-24 16:01

后端木木的博客 PHP 使用 mysqli
PHP cURL API响应处理 json php
2017-01-04 17:41

回答 1 已采纳 Your response data is in array format. In this specific case, you can access clan id as follows:
php处理get请求，返回json
2018-05-04 13:34

Young_Gao的博客 <?php $searchUrl = 'http://203.156.244.227:80/cgi-bin/get_score.fcgi?content='; if(!empty($_GET['content'])) { $searchUrl .= $_GET['content']; } echo f...
PHP-laravel框架一1
2022-02-21 15:50

南风number的博客安装 composer需要联网 ①运行composer安装程序 ②直接下一步 ③选择需要使用的php所在路径（如果显示不正确，可以点击浏览自行选择） ④代理设置（默认不设置代理） ⑤直接下一步 ⑥继续下一步 ⑦完成安装安装...
没有解决我的问题, 去提问

悬赏问题

¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测
¥15 ETLCloud 处理json多层级问题
¥15 matlab中使用gurobi时报错
¥15 这个主板怎么能扩出一两个sata口
¥15 不是，这到底错哪儿了😭
¥15 2020长安杯与连接网探
¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么

码龄粉丝数原力等级 --

php - 正确的GET处理

0条回答默认最新

悬赏问题

php - 正确的GET处理

0条回答 默认 最新

悬赏问题

0条回答默认最新