Erro ao consultar banco de dados

[goncalves1603]

Olá boa tarde.

 

Bom, estou com o seguinte problema em uma consulta ao banco de dados.

 

Estou fazendo um sistema para Jogos de Campeonato, e tenho criada as seguintes tabelas (CADASTROS, CAMPEONATO_LIGA, INSCRICOES_LIGA, JOGOS_LIGA)

 

 

Quando estou na página interna do campeonato (campeonato.php?id=1), essa pagina lista informações completas das tabelas acimas.

 

Bom, o problema inicia quando vou para a página de POSTAR RESULTADOS (meus_jogos.php?id=1    - sendo esse 1, codigo do campeonato).

 

A pagina lista todos os MEUS jogos, seja como mandante ou adversário. Porém, quando se eu mudar o id para qualquer outro numero, continua aparecendo alguns jogos do mesmo campeonato, o qual não deveria aparecer ( por exemplo meus_jogos.php?id=12).

 

Segue abaixo parte da programação da pagina meus_jogos.php 

 

//Pegando 

 

$consultas_meusjogos = mysql_query("SELECT * FROM jogos_liga WHERE id_liga=  '".$_GET['id']."'   AND id_mandante = '".$user['id']."' or id_visitante = '".$user['id']."'   order by id ASC") or die(mysql_error());

 

$i=0;              

while($meusjogos=mysql_fetch_array($consultas_meusjogos)) {

 

 

 

 

Quando eu mudo a consulta e deixo apenas >>  $consultas_meusjogos = mysql_query("SELECT * FROM jogos_liga WHERE id_liga=  '".$_GET['id']."'     order by id ASC") or die(mysql_error());

 

funciona, porém, aparece todos os jogos, inclusive os que não faço parte, como login autenticado ($user)

 

 

alguém pode me ajudar?

[lowys]

Olá!

Para aparecer apenas os jogos aos quais você faz parte, faça como a query acima, acrescente o trecho: AND id_mandante = '".$user['id']."' or id_visitante = '".$user['id']."'

 

P.S.

A) Não use $_GET['id'] diretamente na montagem de sua query. Filtre e trate essa variável pra evitar sql injection.

B) Por questões de segurança e desempenho, atualize seu php.