Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [PHP]Logowanie i Sesje
set4812
post
Post #1





Grupa: Zarejestrowani
Postów: 150
Pomógł: 3
Dołączył: 13.04.2010

Ostrzeżenie: (0%)
-----

Mam skrypt logowania napisany który działa poprawnie. Przypisuje w sesji id do id uzytkownika z bazy. W związku z tym mam kilka pytan , czy istnieje jakas mozliwosć żeby ktoś sobie wpisał session['id']=1 i sie zalogował pod uzytkownikiem nr 1 w bazie oraz czy istnieje mozliwosc wyciagniecia specyficznego ciagu znaków z sesji i wciagniecia do bazy i porównania z sesjami u uzytkownika??
Pozdrawiam set4812
Go to the top of the page
+Quote Post
kamillo121
post
Post #2





Grupa: Zarejestrowani
Postów: 127
Pomógł: 6
Dołączył: 26.07.2009

Ostrzeżenie: (0%)
-----

No pewnie (IMG:style_emoticons/default/smile.gif)
Zrób sobie tabelę w bazie danych np "sesje' tam będziesz przechowywał nr id sesji id usera itd i porównywał z danymi ze sesji.
Wtedy masz już większą pewność, że nikt nie podmieni sesji

A co do tego ciągu, to możesz np md5 albo sha1 zmielić IP usera przeglądarkę i aktualny czas i to by był taki hash, potem zapisujesz go w tabeli sesje w mysql i u usera w session i porównujesz (IMG:style_emoticons/default/smile.gif)

Ten post edytował kamillo121 26.09.2010, 10:48:02
Go to the top of the page
+Quote Post
dethim
post
Post #3





Grupa: Zarejestrowani
Postów: 33
Pomógł: 0
Dołączył: 10.02.2007

Ostrzeżenie: (0%)
-----

pokaz skrypt to zobaczymy
Go to the top of the page
+Quote Post
set4812
post
Post #4





Grupa: Zarejestrowani
Postów: 150
Pomógł: 3
Dołączył: 13.04.2010

Ostrzeżenie: (0%)
----- 

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. function logowanie(){
  4. if(!isset ($_POST['logowanie'])){
  5. echo '<center><form action="index.php" method="post">
  6. <font color="red"><B> Login</B></font><input type="text" name="user" size="15"><br/>
  7. <B><font color="red">Hasło</font></B><input type="password" name="pass" size="15"><br/>
  8. <input type="submit" value="Zaloguj" name="logowanie" ></form></center>
  9. <a href="index.php?id=register">REJESTRACJA</a>
  10. ';}
  11. else {
  12. $pass=$_POST['pass'];
  13. $login=$_POST['user'];
  14.  
  15. if(isset ($_POST['logowanie']))
  16. {
  17. $link = mysql_connect('localhost', 'root', '');
  18. $result = mysql_select_db('forum');
  19. $query= 'SELECT * FROM uzytkownicy';
  20. $z=mysql_query($query);
  21. while ($row=mysql_fetch_assoc($z))
  22. {
  23. if ($login==$row['login'] and $pass==$row['haslo']){
  24. $_SESSION['id'] = $row['id'];
  25. echo '<html><head><meta http-equiv="refresh" content="0;url=http://localhost/raporty/index.php"/></head><body></body></html>'; 
  26.  
  27. 										}
  28. else{
  29. echo "zla nazwa lub haslo uzytkownika";
  30.  echo '<html><head><meta http-equiv="refresh" content="3;url=http://localhost/raporty/index.php"/></head><body></body></html>'; 
  31. }}}}}
  32. function zalogowany(){
  33. 		$link = mysql_connect('localhost', 'root', '');
  34. $result = mysql_select_db('forum');
  35.  
  36. $query= 'SELECT * FROM uzytkownicy WHERE id='.$_SESSION['id'].'';
  37. $z=mysql_query($query);
  38. while ($row=mysql_fetch_assoc($z))
  39. echo 'Witaj <b>'.$row['login'].'</b><br/>';
  40. echo '<a href="index.php?id=katalogi">Katalogi</a><br/>';
  41. echo '<a href="index.php?id=news">Newsy</a>';
  42. }
  43.  
  44.  
  45. if(!isset($_SESSION['id']))
  46. 	{
  47. 		$_SESSION['id'] = 0;
  48. 		logowanie();
  49. 		}
  50. 		else if($_SESSION['id'] == 0) {logowanie();}
  51.  
  52. if($_SESSION['id'] > 0) {zalogowany();} 
  53.  
  54. ?>
[PHP] pobierz, plaintext


Kod do optymalizacji całkowitej (IMG:style_emoticons/default/tongue.gif) . Bede go przerabiał na klasę. Co w nim mozna znienic zeby bardziej zabezpieczyć(IMG:style_emoticons/default/questionmark.gif)
Go to the top of the page
+Quote Post
bastard13
post
Post #5





Grupa: Zarejestrowani
Postów: 664
Pomógł: 169
Dołączył: 8.01.2010
Skąd: Kraków

Ostrzeżenie: (0%)
-----

Sesji nikt ci nie nadpisze. Nie ma możliwości żebym napisał sobie skrypt, w którym stworzę zmienną $_SESSION['id']=1 i się zaloguję dzięki niemu na twoją stronę. Sesja jest indywidualna dla każdego jej wywołania. Czyli dla każdej osoby jest ona osobna, niewspółdzielona i żaden użytkownik nie ma ingerencji w sesje innego użytkownika.
W tym kodzie, co pokazałeś, to na początek zmień logowanie. Nie wyciągaj wszystkich użytkowników i wtedy sprawdzaj czy istnieje taki, jaki się chce zalogować, tylko stwórz zapytanie w stylu:
[SQL] pobierz, plaintext 
  1. SELECT * FROM uzytkownicy WHERE login=$login AND haslo=$haslo
[SQL] pobierz, plaintext

oczywiście takie dane trzeba sprawdzić. Do hasła polecam hashowanie np sha1, wtedy masz
[SQL] pobierz, plaintext 
  1. SELECT * FROM uzytkownicy WHERE login=$login AND haslo=sha1($haslo)
[SQL] pobierz, plaintext

i oczywiście jakaś walidacja loginu, albo wyrażenie regularne, gdzie sprawdzasz, czy login zawiera tylko znaki dopuszczalne albo przynajmniej http://pl2.php.net/manual/en/function.mysq...cape-string.php
Po wykonaniu zapytania sprawdzaj czy został wyciągnięty rekord z bazy. Jeżeli tak -> zaloguj, nie -> brak użytkownika.

Ten post edytował bastard13 26.09.2010, 15:20:28
Go to the top of the page
+Quote Post
set4812
post
Post #6





Grupa: Zarejestrowani
Postów: 150
Pomógł: 3
Dołączył: 13.04.2010

Ostrzeżenie: (0%)
-----

przechodze 100 na obiektowo i w stosunku do tego jeszcze zadam kilka pytan czy da sie przerwać wykonywanie klasy gdy wszystkie funkcje wykonywuja sie w konstruktorze?? A co do haseł w md5 będę kodował. login i hasło escepe string przeleciec. łaczenie z baza chce oddzielenie zrobic jak je uzywac w klasie jezeli mam je w oddzielnym pliku, uzywam mysqli.
Go to the top of the page
+Quote Post
bastard13
post
Post #7





Grupa: Zarejestrowani
Postów: 664
Pomógł: 169
Dołączył: 8.01.2010
Skąd: Kraków

Ostrzeżenie: (0%)
-----

1) Przerywanie wykonywania funkcji - return bądź exit()
2) Jeżeli używasz md5 lub czegoś podobnego to nie potrzeba ci już escape.
3) funkcje include(), require(), require_once() - dołączanie pliku. Żeby je używać w klasie możesz przekazać jako argument do konstruktora/funkcji klasy.
Go to the top of the page
+Quote Post
set4812
post
Post #8





Grupa: Zarejestrowani
Postów: 150
Pomógł: 3
Dołączył: 13.04.2010

Ostrzeżenie: (0%)
-----

Ja chce miec w całej Clasie zeby funkcje miały połaczenie z baza jak i konstruktor, czyli mam zaincludowac czy jakos przekazac, prosze o jakis przykład
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 23.08.2025 - 13:40
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn