您在子页面上的 sql 查询如何确定使用哪个菜单导航到该页面?
How does your sql query on the sub-page determine which menu was used to navigate to the page?
管理员可以看到两个菜单。
- 管理 - 检索查询取决于用户位置。此菜单提供给所有用户。
- 管理菜单 - 查询无限制。此菜单仅供管理员使用。
以上两个菜单使用相同的页面,但查询动态选择取决于用户。
我尝试通过 URL 传递值,例如 url.com?admin=1 。如果设置了 Admin 参数,查询将没有任何限制。否则按位置限制。
但我的问题是当我单击并从一个页面导航到另一个页面并执行某些表单操作时,在这种情况下,URL 参数甚至自动取消设置 Admin。因此查询将受到位置甚至管理员的限制。
所以谁能帮我解决这个问题。
<?php
$LoginEmpID = $_SESSION["EmployeeLoggedIN"];
//find out location for display room id and discription (Ex.Salem Employee only can give salem's rooms)
$employeeLocation = sprintf("SELECT Location FROM Employee where Emp_ID = %s", GetSQLValueString($LoginEmpID, "int"));
$Recordset_employeeLocation = mysql_query($employeeLocation) or die(mysql_error());
$row_Recordset_employeeLocation = mysql_fetch_array($Recordset_employeeLocation);
$str_Emp_location = $row_Recordset_employeeLocation['Location'];
//DropDown For Room Information
$query_Recordset1_room_number = sprintf("SELECT room_id, role_description,location_id FROM hrms_m_rooms where location_id = %s",GetSQLValueString($str_Emp_location, "text"));
if(isset($_GET['admin']))
{
//DropDown For Room Information
$query_Recordset1_room_number = sprintf("SELECT room_id, role_description,location_id FROM hrms_m_rooms where location_id = %s",GetSQLValueString($str_Emp_location, "text"));
}
$Recordset1_room_number = mysql_query($query_Recordset1_room_number) or die(mysql_error());
$row_Recordset1_room_number = mysql_fetch_array($Recordset1_room_number);
$totalRows_Recordset1_room_number = mysql_num_rows($Recordset1_room_number);
$current_loaction = $row_Recordset1_room_number['location_id'];
//Dropdown lookupid
$query_Recordset1_resource_type = "SELECT lookup_id, lookup_description FROM hrms_general_master WHERE lookup_type = 'RESOURCE_TYPE'";
$Recordset1_resource_type = mysql_query($query_Recordset1_resource_type) or die(mysql_error());
$row_Recordset1_resource_type = mysql_fetch_assoc($Recordset1_resource_type);
$totalRows_Recordset1_resource_type = mysql_num_rows($Recordset1_resource_type);
?>
我建议的第一件事是从 mysql 切换到 mysqli 或使用 mysql-pdo 更好。
我希望放置一个 url 参数 ?Admin=1 仅用于 testing/debugging 目的。这是一个巨大的安全漏洞,因为任何人都可以登录然后手动将他们的 ?Admin=25 设置为 ?Admin=1 并访问您的管理区域。
如果您还没有这样做的话,我建议您在您的数据库中为权限级别创建一个字段。
然后使用session_start();正如@Saty 在您的页面顶部评论的那样,并在您的登录页面上为管理员创建一个会话,就像这样...
$loginStrGroup = $row['permission'];
$_SESSION['UserGroup'] = $loginStrGroup;
然后删除您的 url 参数 ?Admin=1
最后把if(isset($_GET['admin']))改成if(isset($_SESSION['UserGroup']) && ($_SESSION['UserGroup'] == 'Admin'))
确保将其放在需要 "Admin" 才能看到管理菜单的每个页面上。
添加代码:
如果“管理”菜单和“管理员”菜单都指向同一页面,但向用户显示的内容取决于他们使用的是哪个菜单,那么我将只显示一个菜单,具体取决于他们是否是“管理员”。
if(isset($_SESSION['UserGroup']) && ($_SESSION['UserGroup'] == 'Admin')) {
--- show admin menu ---
} else {
--- show manager menu ---
}
管理员可以看到两个菜单。
- 管理 - 检索查询取决于用户位置。此菜单提供给所有用户。
- 管理菜单 - 查询无限制。此菜单仅供管理员使用。
以上两个菜单使用相同的页面,但查询动态选择取决于用户。
我尝试通过 URL 传递值,例如 url.com?admin=1 。如果设置了 Admin 参数,查询将没有任何限制。否则按位置限制。
但我的问题是当我单击并从一个页面导航到另一个页面并执行某些表单操作时,在这种情况下,URL 参数甚至自动取消设置 Admin。因此查询将受到位置甚至管理员的限制。
所以谁能帮我解决这个问题。
<?php
$LoginEmpID = $_SESSION["EmployeeLoggedIN"];
//find out location for display room id and discription (Ex.Salem Employee only can give salem's rooms)
$employeeLocation = sprintf("SELECT Location FROM Employee where Emp_ID = %s", GetSQLValueString($LoginEmpID, "int"));
$Recordset_employeeLocation = mysql_query($employeeLocation) or die(mysql_error());
$row_Recordset_employeeLocation = mysql_fetch_array($Recordset_employeeLocation);
$str_Emp_location = $row_Recordset_employeeLocation['Location'];
//DropDown For Room Information
$query_Recordset1_room_number = sprintf("SELECT room_id, role_description,location_id FROM hrms_m_rooms where location_id = %s",GetSQLValueString($str_Emp_location, "text"));
if(isset($_GET['admin']))
{
//DropDown For Room Information
$query_Recordset1_room_number = sprintf("SELECT room_id, role_description,location_id FROM hrms_m_rooms where location_id = %s",GetSQLValueString($str_Emp_location, "text"));
}
$Recordset1_room_number = mysql_query($query_Recordset1_room_number) or die(mysql_error());
$row_Recordset1_room_number = mysql_fetch_array($Recordset1_room_number);
$totalRows_Recordset1_room_number = mysql_num_rows($Recordset1_room_number);
$current_loaction = $row_Recordset1_room_number['location_id'];
//Dropdown lookupid
$query_Recordset1_resource_type = "SELECT lookup_id, lookup_description FROM hrms_general_master WHERE lookup_type = 'RESOURCE_TYPE'";
$Recordset1_resource_type = mysql_query($query_Recordset1_resource_type) or die(mysql_error());
$row_Recordset1_resource_type = mysql_fetch_assoc($Recordset1_resource_type);
$totalRows_Recordset1_resource_type = mysql_num_rows($Recordset1_resource_type);
?>
我建议的第一件事是从 mysql 切换到 mysqli 或使用 mysql-pdo 更好。
我希望放置一个 url 参数 ?Admin=1 仅用于 testing/debugging 目的。这是一个巨大的安全漏洞,因为任何人都可以登录然后手动将他们的 ?Admin=25 设置为 ?Admin=1 并访问您的管理区域。
如果您还没有这样做的话,我建议您在您的数据库中为权限级别创建一个字段。
然后使用session_start();正如@Saty 在您的页面顶部评论的那样,并在您的登录页面上为管理员创建一个会话,就像这样...
$loginStrGroup = $row['permission'];
$_SESSION['UserGroup'] = $loginStrGroup;
然后删除您的 url 参数 ?Admin=1
最后把if(isset($_GET['admin']))改成if(isset($_SESSION['UserGroup']) && ($_SESSION['UserGroup'] == 'Admin'))
确保将其放在需要 "Admin" 才能看到管理菜单的每个页面上。
添加代码:
如果“管理”菜单和“管理员”菜单都指向同一页面,但向用户显示的内容取决于他们使用的是哪个菜单,那么我将只显示一个菜单,具体取决于他们是否是“管理员”。
if(isset($_SESSION['UserGroup']) && ($_SESSION['UserGroup'] == 'Admin')) {
--- show admin menu ---
} else {
--- show manager menu ---
}