curso-php/edit.php at master · sermare18/curso-php · GitHub

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
<?php

require "database.php";

#Obtenemos los datos de la sesión
session_start();

if(!isset($_SESSION["user"])) { //Si no estamos logueados
  #Redirigimos a login.php
  header("Location: login.php");
  return; //Para no seguir ejecutando código de este archivo si no estamos autentificados
}

#Obtenemos el id del contacto que queremos editar
#La variable get no siempre tiene contenido en este caso si por el query-string
$id = $_GET["id"];

#Comprobamos en la base de datos si el id existe
$statement = $conn->prepare("SELECT * FROM contacts WHERE id = :id LIMIT 1"); //Ponemos LIMIT para que la función fetch nos devuelva un array en vez de una matriz con el FETCH_ASSOC

$statement->bindParam(":id", $id);

$statement->execute();

# Si no existe devolvemos el error 404 NOT FOUND y finalizamos
if ($statement->rowCount() == 0){
  http_response_code(404);
  echo("HTTP 404 NOT FOUND");
  return;
}

#Guardamos la información del contacto extraida de la base de datos en un array asociativo
$contact = $statement->fetch(PDO::FETCH_ASSOC);

#Incrementamos la seguridad para que un usuario no puede editar contactos de otro usuario a través del string-query
if($contact["user_id"] != $_SESSION['user']['id']){
  http_response_code(403); //Código que indica que no estás autorizado para hacer esta operación
  echo("HTTP 403 UNAUTHORIZED");
  return;
}

#Creamos un error que enviaremos al cliente en caso de que rellene el formulario mal
$error = null;

if($_SERVER["REQUEST_METHOD"] == "POST") { //Aquí es donde nos envian datos a través del formulario.

  if(empty($_POST["name"]) || empty($_POST["phone_number"])){

    $error = "Please fill all the fields.";

  } elseif (strlen($_POST["phone_number"]) < 9) { //Validanos el número de telefono

    $error = "Phone number must be at least 9 characters.";

  } else { //Si el formulario se rellena correctamente

  $name = $_POST["name"]; //POST es otra variable superglobal, que contiene un array asociativo conformado por las peticiones POST
  $phoneNumber = $_POST["phone_number"]; //En las variables utilizamos nomenclatura camel case y en los campos de la base de datos siempre van con '_'

  #Insercción de contactos a la base de datos con protección de inyecciones SQL
  $statement = $conn->prepare("UPDATE contacts SET name = :name, phone_number = :phone_number WHERE id = :id");
  $statement->execute([
    ":id" => $id,
    ":name" => $_POST["name"],
    ":phone_number" => $_POST["phone_number"]
  ]);

  #Creamos en la variable superglobal session un atributo que hace referencia a un mensaje flash
  $_SESSION["flash"] = ["message" => "Contact {$_POST['name']} modified.", "type" => "success"];

  #Después de almacenar el nuevo contacto queremos que el navegador nos rediriga a 'home.php'
  header("Location: home.php");
  return; #Para que no se ejecute el código de abajo si ya ha tenido lugar el 'POST'
  }

} // Si aun no ha tenido lugar la solicitud 'POST' del formulario

?>

<!-- Reutilizamos código -->
<?php require "partials/header.php"; ?>

<div class="container pt-5">
  <div class="row justify-content-center">
    <div class="col-md-8">
      <div class="card">
        <div class="card-header">Edit Contact</div>
        <div class="card-body">
          <?php
          if ($error): //Lo mismo que ($error != null), es decir si tenemos errores ?>
            <p class="text-danger">
              <?= $error ?>
            </p>
          <?php endif ?>
          <form method="post" action="edit.php?id=<?= $contact["id"] ?>">  <!-- Volvemos a pasar el id del contacto a editar a el archivo que va a dar respuesta al formulario, en nuestro caso es el mismo archivo -->
            <div class="mb-3 row">
              <label for="name" class="col-md-4 col-form-label text-md-end">Name</label>

              <div class="col-md-6">
                <input value="<?= $contact["name"] ?>" id="name" type="text" class="form-control" name="name" required autocomplete="name" autofocus>
              </div>
            </div>

            <div class="mb-3 row">
              <label for="phone_number" class="col-md-4 col-form-label text-md-end">Phone Number</label>

              <div class="col-md-6">
                <input value="<?= $contact["phone_number"] ?>" id="phone_number" type="tel" class="form-control" name="phone_number" required autocomplete="phone_number" autofocus>
              </div>
            </div>

            <div class="mb-3 row">
              <div class="col-md-6 offset-md-4">
                <button type="submit" class="btn btn-primary">Submit</button>
              </div>
            </div>
          </form>
        </div>
      </div>
    </div>
  </div>
</div>

<?php require "partials/footer.php"; ?>