как сделать такое? (PHP+MySQL)

MaxVMP · 28.01.2011

как сделать такое? (PHP+MySQL)

Хотелось бы реализовать такое:

На сайте существует скрытая страница, т.е. на нее не ведет ни одна ссылка, название страницы знает только админ.
В этой странице: form-textarea-input[submit]
В textarea вводится SQL-запрос.
Что должен содержать обработчик формы?
Возможен ли другой способ работать "напрямую" с БД?
Спасибо.

HelloWorld · 28.01.2011

MaxVMP сказав(ла):
Хотелось бы реализовать такое:

На сайте существует скрытая страница, т.е. на нее не ведет ни одна ссылка, название страницы знает только админ.
В этой странице: form-textarea-input[submit]
В textarea вводится SQL-запрос.
Что должен содержать обработчик формы?

чтобы что? вы как будто писали вопрос и не дописали. постановка задачи заканчивается на словах "В textarea вводится SQL-запрос". для того чтобы вводить в textarea текст никакие обработчики в общем-то не нужны.

MaxVMP сказав(ла):
Возможен ли другой способ работать "напрямую" с БД?

по SSH ломиться на сервер и работать из командной строки. или поставить гуи для мускуля и ломиться им через SSH-туннель. или поставить пхпмайадмин на сервере.

MaxVMP · 28.01.2011

Что должен содержать обработчик формы чтобы обработать запрос и отобразить его результат?
содержимое textarea передается в обработчик формы как переменная

HelloWorld · 28.01.2011

чтобы обработать запрос и отобразить его результат обработчик должен содержать код, который обработает запрос и отобразит его результат..
не могли бы вы написать чуть конкретнее, в чем проблема? не получается запрос к БД выполнить, не получается получить содержимое текстареи? непонятно, как отображать результат? вопросы безопасности смущают [хех, ещё бы]?

MaxVMP · 28.01.2011

начнем с простого:
insert-запрос, ограничимся обработкой запроса.
Делаю так:
в обработчике
....
$query = $_POST['query'];
if($query){
mysql_query ("$query");
}
....

eyeland · 28.01.2011

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

?

dr_mousefly · 28.01.2011

MaxVMP сказав(ла):
Возможен ли другой способ работать "напрямую" с БД?

phpMyAdmin
перестаньте изобретать велосипеды.

HelloWorld · 28.01.2011

MaxVMP сказав(ла):
mysql_query ("$query");

смысл двойных кавычек в пхп уяснить имеет смысл всем адептам дабы не восставлять их по ненадобности, увеличивая энтропию вселенной.
а начать можно с чего-то такого:

Код:

if (mysql_query($query)) {
    echo 'OK';
}
else {
    echo 'FAIL!!! HA-HA-HA!!! '.mysql_error();
}

а ещё лучше поставить себе SQLyog или на сервер PHPMyAdmin, что уже дважды рекомендовалось выше

zansul · 28.01.2011

MaxVMP сказав(ла):
Хотелось бы реализовать такое:

На сайте существует скрытая страница, т.е. на нее не ведет ни одна ссылка, название страницы знает только админ.
В этой странице: form-textarea-input[submit]
В textarea вводится SQL-запрос.

лицорука

MaxVMP · 28.01.2011

phpMyAdmin - воспользоваться не могу, долго объяснять почему, но не потому что не знаю как, приходится изгаляться

sv19com · 28.01.2011

Насколько я понял нужна страничка для аминистрирования сайта, которая будет что-то изменять в базе данных.
То, что советовали похоже неудобно использовать...
Можно сделать так.
1. Лучше всего чтобы страничка была недоступна при прямом вызове, а вызывалась через переменную в запросе к сайту, например что-то типа:

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

, тогда вероятность что кто-то зайдет на нее минимальна.
2. При первом заходе на эту страничку запрашивать пароль, а лучше сделать какую-нибудь форму регистрации с несколькими полями, но одно проверять.
3. Все запросы фильтровать от опасных символов.

Если бы было конкретно сказано что нужно делать (например, вывести список фамилий с возможностью их редактирования), то тогда бы быстрее помогли...
А так догадывайся чего конкретно нужно...

HelloWorld · 28.01.2011

sv19com сказав(ла):
1. Лучше всего чтобы страничка была недоступна при прямом вызове, а вызывалась через переменную в запросе к сайту, например что-то типа:
Тільки зареєстровані користувачі бачать весь контент у цьому розділі
, тогда вероятность что кто-то зайдет на нее минимальна.

что значит "вероятность"? кулхацкер сидит и наугад вписывает урлы в адресную строку браузера, ощущая прилив гугловского "I'm Feeling Lucky"? это было бы за гранью фэйспалма. тем более, ваш урл такой же прямой, как и урл без параметров, и "вероятность" такая же точно.

sv19com сказав(ла):
Насколько я понял нужна страничка для аминистрирования сайта, которая будет что-то изменять в базе данных.

sv19com сказав(ла):
3. Все запросы фильтровать от опасных символов.

админка это админка. ТС же относительно четко сформулировал, что ему нужна не админка, а фактически клиент для работы с БД. вводишь запрос на странице - он выполняется в БД и возвращается результат.

с учетом такой постановки задачи, сколько опасных символов вам видится в хулиганском запросе "DELETE FROM clients" и как их отфильтровать? а ещё интереснее - как оценить в деньгах попавший в чужие руки результат выполнения коварного запроса "SELECT * FROM clients"?

sv19com · 28.01.2011

HelloWorld сказав(ла):
что значит "вероятность"? кулхацкер сидит и наугад вписывает урлы в адресную строку браузера, ощущая прилив гугловского "I'm Feeling Lucky"? это было бы за гранью фэйспалма. тем более, ваш урл такой же прямой, как и урл без параметров, и "вероятность" такая же точно.

Ну если он угадает имя скрипта, имена переменных и их значения, то да

HelloWorld сказав(ла):
админка это админка. ТС же относительно четко сформулировал, что ему нужна не админка, а фактически клиент для работы с БД. вводишь запрос на странице - он выполняется в БД и возвращается результат.

Опасное у него желание сделать такого клиента!

HelloWorld сказав(ла):
с учетом такой постановки задачи, сколько опасных символов вам видится в хулиганском запросе "DELETE FROM clients" и как их отфильтровать?

сначала фильтруем опасные символы, потом парсим строку на предмет "хулиганских запросов". Очень сложно?

HelloWorld сказав(ла):
а ещё интереснее - как оценить в деньгах попавший в чужие руки результат выполнения коварного запроса "SELECT * FROM clients"?

Вот поэтому я и предлагал сделать скрытый заход на страничку и паролем.

ЗЫ. А фильтровать все же нужно - проще жизнь будет!

HelloWorld · 28.01.2011

sv19com сказав(ла):
Ну если он угадает имя скрипта, имена переменных и их значения, то да

урл - это строка, набор символов. поэтому "угадывание" урлов с параметрами и без оных - абсолютно равнозначная задача, вам так не кажется?

sv19com сказав(ла):
сначала фильтруем опасные символы, потом парсим строку на предмет "хулиганских запросов". Очень сложно?

алгоритм определения хулиганских запросов в студию. и сразу же вопрос - что это за клиент для работы с БД, который дает выполнять не все запросы?

sv19com сказав(ла):
Вот поэтому я и предлагал сделать скрытый заход на страничку и паролем.

пароль - это оригинальная идея, и свежая. однако зачем-то вы к закрытию страницы паролем решили прибавить якобы сложный для угадывания урл. думаете, это увеличит безопасность системы?

sv19com сказав(ла):
ЗЫ. А фильтровать все же нужно - проще жизнь будет!

дык с нефильтрованным жизнь тоже ничего, хотя, говорят, на почки плохо влияет

sv19com · 28.01.2011

HelloWorld, я не собираюсь здесь спорить что просто, а что нет. На этот счет в гугле полно информации...
Я предложил простые решения, которые хоть как-то защитят данные, чем вообще никак. А вообще ТС решать чего и как...

HelloWorld · 28.01.2011

что проще было уже давно написано.
а эту мегасистему ТС возможно делает в целях самообучения и безопасность ему не нужна. печально, конечно, если это не так

dr_mousefly · 28.01.2011

MaxVMP сказав(ла):
phpMyAdmin - воспользоваться не могу, долго объяснять почему, но не потому что не знаю как

или Вам стыдно назвать причины..
например, хост совсем не Ваш...

reflect · 28.01.2011

Открыт конкурс, как быстрее наебнуть сайт?
Это что ж за хостинг такой, в который нельзя войти и спокойно выполнить запрос?
По теме:

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

. Также обязательно запаролить ито не факт, что пароли не проснифают.

MaxVMP · 29.01.2011

ок. немного приоткрою завесу, хотя сомневаюсь что это как-то поможет.
Сайт лежит на хосте фирмы, доступ из инета к нему закрыт.
Сайт по сути приложение для добавления информации о входящих звонках на фирму (кто звонил, каким оборудованием интересовался и т.п.) в бд.
На хосте лежит все бд фирмы:бухгалтерия, отдел кадров, отдел продаж и т.д., рисковать этими данными, ради различных фич для вышеуказанного приложения написанного неуком (на фирме работаю контент-менеджером), вроде меня, суперадмин не хочет и я считаю правильно делает.
Такие пироги)

dr_mousefly · 29.01.2011

MaxVMP сказав(ла):
рисковать этими данными, ради различных фич для вышеуказанного приложения написанного неуком (на фирме работаю контент-менеджером), вроде меня, суперадмин не хочет и я считаю правильно делает.

а формочка ввода запросика никак эти данные повредить не может, конечно, ага.
вы, батенька, или крестик снимите или трусы оденьте.

если админ мешает выполнению Ваших служебных обязанностей, так и доложите вышестоящему руководству.

если что, в MySQL какбы можно расставлять разрешения на уровне пользователей, БД и таблиц.
кому и что именно можно трогать, смотреть, а кому ваще ничего низзя.
именно для случаев типо Вашего система безопасности и предназначена.
и через phpMyAdmin и через navicat все эти ограничения прекрасно работают.
так и скажите Вашему админу, предварительно плюнув ему в лицо.