Forum PHP.pl

Witam
Tworzę prostą aplikacje z logowanie i sesją. Jedno pyatanie zaznaczyłem jako komentarze w kodzie (wydaje mi się że chyba najlepsze rozwiązanie aby wytłumaczyć o co mi chodzi)

[PHP] pobierz, plaintext 
<!DOCTYPE html>
 
    <head>
        <meta charset="UTF-8">
        <title>strona</title>
    </head>
    <body>
         <div>
 
    <center>
        <br>
        <br>
        <font>LOGOWANIE</font>
   <br>
   <br>
 
   <?php
 
        $con =  mysqli_connect('localhost', 'ja, 'ja', 'baza');
       if(mysqli_connect_errno()){
       	echo mysqli_connect_error();
       	exit();
       }
 
   session_start();
 
   if(isset($_POST['zaloguj'])){
       $login = $_POST['login'];
       $haslo= $_POST['haslo'];
 
       $log = mysqli_query($con, 'select * from uzytkownicy where login = "'.$login.'" and haslo = "'.$haslo.'" ');
       //$res=$mysqli->query($log);
 
       if(mysqli_num_rows($log)==1 || ){
           if("'.admin.'"==1){   <------Czy w ten sposób powinno się podawać zmienne z bazy danych których wartość ma sprawdzić?
           $_SESSION ['imie'] = $imie;
           $_SESSION ['nazwisko'] = $nazwisko; <---- 
           header ('Location:admin.php');
           }           
       else{
           $_SESSION ['imie'] = $imie;
           $_SESSION ['nazwisko'] = $nazwisko;
           header ('Location:start.php');
   }
       }else{  echo "Błędny login lub hasło";
   }
 
    if(isset($_GET['Wyloguj'])){
        session_unregister($login);
    }
   }
 
    ?>
 
        <form name="logowanie" method="POST">
           LOGIN <input type="text" name="login" value="" size="35" /><br>
           HASŁO <input type="password" name="haslo" value="" size="35" /><br>
           <input type="submit" value="Login" name="zaloguj" />
 
 
 
        </form>       
        </center>
 
 
    </body>
</html>
[PHP] pobierz, plaintext 

Odnośnie linijki 36 i 37: Czy dzięki takiej konstrukcji program przechwyci konkretne dane z bazy i przypisze je do tych zmiennych dzieki czemu będe mógł się do nich odwoływać na innych plikach tego projektu? Np. na stronie admin czy ten zapisa ma sens

[PHP] pobierz, plaintext 
echo 'Witamy '.$_SESSION['imie']; 
[PHP] pobierz, plaintext 

?
Której składni lepiej używać mysql czy mysqli?

Ten post edytował jobp33 14.12.2015, 16:44:41

O rozszerzeniu mysql zapomnij, zostało usunięte.

W linii 31 masz podatność na SQL Injection. Stosuj bindowanie parametrów. mysqli_query zwraca result http://php.net/manual/pl/class.mysqli-result.php więc musisz go jeszcze wybrać np. poprzez http://php.net/manual/pl/mysqli-result.fetch-assoc.php
header nie zadziała bo wysłałeś już tekst.

Tak jak kolega wyżej napisał - header nie pójdzie. Użyj ob_start() na samym początku.
Dodawaj slashe do danych, które współgrają z bazą.
Zdecyduj się czy używasz objektów czy strukturalnego. Wszystko robisz na strukturze i nagle object w 32 się pojawił.
Między 32, a 35 nie masz nic co by Ci tego admina do 35 pobrało. Musisz użyć fetch_assoc lub fetch_array.
Mysql nie używamy, a najlepiej teraz na PDO się przenosić już (IMG:style_emoticons/default/smile.gif)

Z różnych jakiś rzeczy ktróre czytałem na temat MySQL i MySQLi to zrozumiałem, że MySQL to działania strukturalne a MySQLi to obiektowe (i jeszcze wspomniane przez ciebie PDO) więc jeśli jest inaczej czy ktoś by mógł jeszcze rozwinąć trochę tą kwestię? Bindowanie parametrów to już jest chyba PDO?

mysqli_* ma też odpowiedniki strukturalne.

Tak jak napisał Pyton. Mysqli ma odpowiedniki strukturalne, gdzie chyba każdy różni się od mysql tylko literką i na końcu i podaniem nazwy połączenia. Ty cały czas działasz strukturalnie, aż do momentu 35 linijki gdzie się pojawia nagle jakiś object. Przerób sobie kod, aby był pod tym względem poprawny.
W samyn manualu już jest pokazane jak się łączyć i działać z mysqli objectowo. Nie wielka różnica, a lepiej wygląda i jest nowszym rozwiązaniem.

Kolejna uwaga, oddzielaj kod HTML od PHP.
Wrzuć sobie formularz do jednego pliku, a całość wysyłaj do drugiego pliku.

Będziesz miał porządek i będziesz mógł łatwiej i klarowniej sterować przepływem tego co użytkownik robi.

I jeszcze odnośnie bindowania parametrów: http://php.net/manual/pl/mysqli-stmt.bind-param.php
Oczywiście że jest też w mysqli.

Czy po takim zabiegu on przechwyci poszczególne dane do sesji? Czemu akurat te? Robię aplikacje w stylu "gieldy ogloszeń" i chcę aby każde dodane ogłoszenie było z automatu podpisane (zalogowany jan kowalski to podpis dodał jan kowalski, napis witający itp ). W którym miejscu należy sprawdzić czy konto jest admina i czy ma upranienia do komentowania?

[PHP] pobierz, plaintext 
   <?php
 
        $mysqli = new mysqli('localhost', 'ja', 'ja', 'baza');
 
        if(mysqli_connect_errno()){
       	echo mysqli_connect_error();
       	exit();
       }
 
   session_start();
 
   if(isset($_POST['zaloguj'])){
       $login = $_POST['login'];
       $haslo= $_POST['haslo'];
 
       $query = "SELECT * FROM uzytkownicy WHERE login = ".$login." AND haslo = ".$haslo."";
 
       if($stmt = $mysqli->prepare($query)){
 
           $stmt->execute();
 
           $stmt->bind_result($imie, $nazwisko);
 
           while ($stmt->fetch()){
 
               $_SESSION ['imie'] = $imie;
               $_SESSION ['nazwisko'] = $nazwisko;
 
           }
 
       }        
       }
 
 
    if(isset($_GET['Wyloguj'])){
        session_unregister($login);
    }
 
 
    ?>
[PHP] pobierz, plaintext 

A zajrzałeś do dokumentacji, bo na pewno nie tak wygląda prepare i na pewno nie przekazanie zmiennych z POST bo to przed niczym nie chroni. Do tego login jest pewnie jeden więc ograniczaj zapytanie LIMIT 1. W ten sposób dostajesz 1 rekord w zwrotce który jest tym właściwym.

Ten post edytował viking 15.12.2015, 12:07:24