Ich hoffe mir kann nochmal jemand helfen^^
Ich weiß es ist immernoch nicht Injectionsicher.
Diesmal wird nix geupdatet also Änderungen werden nicht übernommen und ich bin total überfragt
Bitte um Hilfe.
PHP-Code:
<?php
session_start();
?>
<?php
require_once ("admin_auth.php");
require_once ("head.php");
?>
<body>
<?php include ("panel.php"); ?>
<div id="main">
<div class="headlogo">
</div>
<?php include ("topnavi.php"); ?>
<div class="content">
<p style="float: right;"> Derzeit sind
<?php
// Anzahl der angemeldeten User ausgeben
include ('config.php');
$con = mysql_connect($dbhost, $dbuser, $dbpass);
mysql_select_db($dbase, $con);
$query="SELECT COUNT(member_id) AS anzahl FROM members";
$sql=mysql_query($query);
while($row = mysql_fetch_array($sql)) {
echo $row['anzahl'];
}
mysql_close($con);
// Ende Anzahl User
?>
User angemeldet!</p>
<p style="font-weight: bold; color: #fff; margin-left: -6px;">
<br /> <br />
<?php
// Tabelle "members" ausgeben inkl. EDIT & DEL Funktion
include ('config.php');
$conn = mysql_connect($dbhost, $dbuser, $dbpass);
mysql_select_db($dbase, $conn);
if ($_POST["action"] == 'edit') {
mysql_query("UPDATE `members` SET
`firstname` = '".$_POST['firstname']."',
`lastname` = '".$_POST['lastname']."',
`login` = '".$_POST['login']."',
`email` = '".$_POST['email']."',
`status` = '".$_POST['status']."'
`reason` = '".$_POST['reason']."'
`passwd` = '".$_POST['passwd']."'
WHERE `member_id` = '".$_POST['member_id']."'");
}
function date_mysql2german($datum) {
list($jahr, $monat, $tag) = explode("-", $datum);
return sprintf("%02d.%02d.%04d", $tag, $monat, $jahr);
}
$result = mysql_query("SELECT * FROM `members`");
while ($row = mysql_fetch_array($result)) {
$modify = date_mysql2german($row['last_modify']);
echo "<a title=\"löschen\" href=\"user_mng_d.php?member_id=".$row['member_id']."\" onclick=\"return window.confirm('Willste wirklich löschen?\nDer Eintrag wird unwiderruflich gelöscht!');\"><img src=\"http://xhtmlforum.de/images/icons/del.png\" border=\"0\" height=\"16\" width=\"16\" alt=\"\" /></a>";
echo '
<a href="?action=edit&member_id='.$row['member_id'].'" title="bearbeiten"><img src="http://xhtmlforum.de/images/icons/edit.gif" border="0" height="16" width="16" alt="" /></a>
'.$row['firstname'].'
'.$row['lastname'].'';
echo " (".$row['login'].")"."<br />";
}
echo '
<form action="'.$_SERVER['PHP_SELF'].'" method="post">';
if ($_GET["action"] == 'edit') {
echo '<input type="hidden" name="action" value="edit">';
echo '<input type="hidden" name="member_id" value="'.$_GET['member_id'].'">';
$result = mysql_query("SELECT * FROM `members` WHERE `member_id` = '".$_GET['member_id']."'");
$row = mysql_fetch_array($result);
$fname = $row['firstname'];
$lname = $row['lastname'];
$login_n = $row['login'];
$email= $row['email'];
$status = $row['status'];
$pw = $row['passwd'];
} else {
?>
</div>
<div class="toggler" onclick="document.getElementById('aufzu').className=='auf' ? document.getElementById('aufzu').className='zu' : document.getElementById('aufzu').className='auf';"></div>
<div id="aufzu" class="zu">
<?php
echo '<input type="hidden" name="action" value="add">';
}
echo '<label>Vorname: </label><input class="editform" type="text" name="firstname" value="'.$fname.'"><br /><br />';
echo '<label>Nachname: </label><input class="editform" type="text" name="lastname" value="'.$lname.'"><br /><br />';
echo '<label>Username: </label> <input class="editform" type="text" name="login" value="'.$login_n.'"><br /><br />';
echo '<label>Passwort: </label> <input style="width: 225px;" class="editform" type="text" name="passwd" value="'.$pw.'"><a href="gen_pw.php?keepThis=true&TB_iframe=true&height=300&width=500" title="" class="thickbox"><img src="http://xhtmlforum.de/images/icons/add-icon.gif" border="0" height="16" width="16" alt="" /></a><span style="color: gray; font-size: 10px; font-style: italic;">Das Passwort ist mit MD5 verschlüßelt</span><br /><br />';
echo '<label>Email: </label> <input class="editform" type="text" name="email" value="'.$email.'"><a href="mailto:'.$email.'" title="Email senden"><img src="http://xhtmlforum.de/images/icons/email.png" border="0" height="16" width="16" alt="" /></a><br /><br />';
echo '<label>Status: </label> <input style="width: 8px;" class="editform" type="text" name="status" value="'.$status.'"> <span style="color: gray; font-size: 10px; font-style: italic;">(0 = Freigeschaltet | 1 = Gesperrt)</span><br /><br />';
echo '<label>Sperre: </label><input class="editform_r" type="text" name="reason" value="'.$reason.'"><br /><br />';
echo '<label>Änderung: </label> <input style="font-style: italic;" class="editform" type="text" name="modify" readonly="readonly" value="'.$modify.'"/><br />';
echo '<input type="hidden" name="submit" value="true">';
echo '<br /><br /><input class="editsub" style="float: left;" type="submit" value="Speichern">';
echo '</form>';
echo ' <a href="user_mng.php" title="Ohne zu speichern zurückkehren!">abbrechen</a><br /><br />';
mysql_close($conn);
// ENDE User aus "members" auslesen!
?>
</p>
</div>
<?php
require_once ("foot.php");
?>
EDIT:
Erldedigt
Lag an den fehlenden Kommas nach
Code:
`status` = '".$_POST['status']."'