Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- mysql_connect("localhost", "root", ""); //устаревшее обращение к бд
- mysql_select_db("orders"); //
- $user_ip = $_SERVER['REMOTE_ADDR'];
- if ($_SERVER['HTTP_X_FORWARDED_FOR']) $user_ip = $_SERVER['HTTP_X_FORWARDED_FOR']; // Что делает эта строка??
- if ($user_ip=="127.0.0.1")
- { // Авторизация по ip пользователя
- echo "Администратор<br>"; //Авторизация по ip по-моему странная идея
- }
- else
- { // Авторизация пользователя
- $sqlQuery = "SELECT * FROM users WHERE uname='$uname' and upass='$upass' and `real`=1";//для чего нужен real?? нет защиты от sql инъекции
- $result = mysql_quеry($sqlQuery) or user_error(mysql_error()."<br>".$sqlQuery."<br>", E_USER_ERROR);
- if ($user = mysql_fеtch_array($result)) //Возможно здесь нужно вывести $user['fio'] через цикл while??
- {
- echo "Здравствуйте ".$user['fio']."<br>";
- }
- else
- {
- echo "Вы не зарегистрированы";
- exit;
- }
- }
- if ($_REQUEST['search']) //Нужна проверка if(isset($_REQUEST['..']))
- {
- echo "Результат поиска: <br>";
- $search_name=$_REQUEST['search'];
- $sqlQuery = "SELECT * FROM forms WHERE satus='$search_name'";//нет защиты от sql инъекции. Может быть вместо and надо использовать запятую? И все ли так с запросом?
- $result = mysql_query($sqlQuery) or user_error(mysql_error()."<br>".$sqlQuery."<br>", E_USER_ERROR);//устаревшее обращение к бд
- while ($one_form = mysql_fetch_аrray($result))
- {
- echo $one_form['info']."<br>";
- }
- }
- echo "<form>Введите поиск: <input type=text name='search'><input type=submit></form>";
- ?>
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement