最受欢迎

子页面上的sql查询如何确定用于导航到该页的菜单

How does your sql query on the sub-page determine which menu was used to navigate to the page?

本文关键字:导航 用于 菜单 何确定 查询 sql | 更新日期: 2023-09-27

管理员可以看到两个菜单

  • 管理-检索查询取决于用户位置。此菜单提供给所有用户。
  • 管理菜单-查询没有限制。此菜单仅为Admin提供。

以上两个菜单使用同一个页面,但查询动态选择取决于用户。

我尝试通过URL传递值,如url.com?admin=1。如果设置了Admin参数,则查询不受任何限制。否则按位置限制。

但我的问题是,当我点击并从一个页面导航到另一个页面,并执行一些表单的动作,在这种情况下,URL参数自动取消设置甚至管理员。因此,查询将受位置限制,甚至Admin。

谁来帮我解决这个问题? 

<?php
$LoginEmpID = $_SESSION["EmployeeLoggedIN"];
//find out location for display room id and discription (Ex.Salem Employee only can give salem's rooms)
$employeeLocation = sprintf("SELECT Location FROM Employee where Emp_ID  = %s", GetSQLValueString($LoginEmpID, "int"));
$Recordset_employeeLocation = mysql_query($employeeLocation) or die(mysql_error());
$row_Recordset_employeeLocation = mysql_fetch_array($Recordset_employeeLocation);
$str_Emp_location = $row_Recordset_employeeLocation['Location'];
//DropDown For Room Information
$query_Recordset1_room_number = sprintf("SELECT room_id, role_description,location_id FROM hrms_m_rooms where location_id  = %s",GetSQLValueString($str_Emp_location, "text"));
if(isset($_GET['admin']))
{
    //DropDown For Room Information
    $query_Recordset1_room_number = sprintf("SELECT room_id, role_description,location_id FROM hrms_m_rooms where location_id  = %s",GetSQLValueString($str_Emp_location, "text"));
}
$Recordset1_room_number = mysql_query($query_Recordset1_room_number) or die(mysql_error());
$row_Recordset1_room_number = mysql_fetch_array($Recordset1_room_number);
$totalRows_Recordset1_room_number = mysql_num_rows($Recordset1_room_number);
$current_loaction = $row_Recordset1_room_number['location_id'];
//Dropdown lookupid
$query_Recordset1_resource_type = "SELECT lookup_id, lookup_description FROM hrms_general_master WHERE lookup_type = 'RESOURCE_TYPE'";
$Recordset1_resource_type = mysql_query($query_Recordset1_resource_type) or die(mysql_error());
$row_Recordset1_resource_type = mysql_fetch_assoc($Recordset1_resource_type);
$totalRows_Recordset1_resource_type = mysql_num_rows($Recordset1_resource_type);
?>

我建议的第一件事是从mysql切换到mysqli,甚至更好地使用mysql-pdo。

我希望放置一个url参数Admin=1只是为了测试/调试的目的。这是一个巨大的安全漏洞,因为任何人都可以登录,然后手动将他们的?Admin=25设置为?Admin=1,并访问您的管理区域。

如果你还没有这样做,我建议在你的数据库中创建一个权限级别字段。

然后使用session_start();就像@Saty在你的页面顶部评论的那样,在你的登录页面上为admin创建一个会话,就像这样… 
$loginStrGroup = $row['permission'];
$_SESSION['UserGroup'] = $loginStrGroup;
Admin=1

最后将if(isset($_GET['admin']))改为if(isset($_SESSION['UserGroup']) && ($_SESSION['UserGroup'] == 'Admin'))

确保把它放在每一页,你需要"管理",能够看到管理菜单。

添加代码:

如果管理菜单和管理菜单都指向同一个页面,但是显示给用户的内容取决于他们使用的是哪个菜单,那么我将只显示一个菜单,这取决于他们是否是管理员。

if(isset($_SESSION['UserGroup']) && ($_SESSION['UserGroup'] == 'Admin')) {
    --- show admin menu ---
} else {
    --- show manager menu ---
}
相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习