Forum PHP.pl

Witam napisałem prosty skrypt logowania i mam problem z wylogowaniem. Mimo że podczas wylogowania $_COOKIE['user'] jest usuwane to dalej istnieje. I nie można się wylogować.
Plik logowanie

[PHP] pobierz, plaintext 
if (isset($_COOKIE['user']))
{
$result = mysql_query("SELECT * FROM uzytkownicy WHERE id='".$_COOKIE['user']."' LIMIT 1");
if (mysql_num_rows($result)) {
$userdata = mysql_fetch_assoc($result); 
}
}
 
 
if(isset($_POST['iduzytkownika']) && isset($_POST['haslo']))
{
 
$user_name = $_POST['iduzytkownika'];
$user_pass = $_POST['haslo'];
 
$result = mysql_query("SELECT * FROM uzytkownicy WHERE nick='".$user_name."' AND haslo='".$user_pass."' LIMIT 1");
if (mysql_num_rows($result)) {
$data = mysql_fetch_assoc($result); 
setcookie("user", $data['id'], time() + 3600 * 24 * 30, "/", "", "0");
} else {
echo 'Podane haslo lub login jest nie poprawny';
}
}
 
  if (isset($_COOKIE['user']))
  {
    echo 'Użytkownik zalogowany jako: '.$userdata['nick'].'<br />';
    echo '<a href="wylog.php">Wylogowanie</a><br />';
  }
  else
  {
    // tworzenie formularza logowania
    echo '<form method="post" action="'.basename($_SERVER['PHP_SELF']).'">';
    echo '<table>';
    echo '<tr><td>Identyfikator użytkownika:</td>';
    echo '<td><input type="text" name="iduzytkownika"></td></tr>';
    echo '<tr><td>Hasło:</td>';
    echo '<td><input type="password" name="haslo"></td></tr>';
    echo '<tr><td colspan="2" align="center">';
    echo '<input type="submit" value="Logowanie"></td></tr>';
    echo '</table></form>';
  }
 
[PHP] pobierz, plaintext 

Plik odpowiedzialny za wylogowanie

[PHP] pobierz, plaintext 
<?php
header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'");
setcookie("user", "", time() - 3600 * 24 * 30, "/", "", "0");
header("Location: ".str_replace("&", "&", 'logowanie.php'));
?>
[PHP] pobierz, plaintext 

Ten post edytował arzach 15.06.2010, 18:36:45

Sprawdź

[PHP] pobierz, plaintext 
unset($_COOKIE['user']))
[PHP] pobierz, plaintext 

Dalej to samo już wcześniej unset próbowałem i nic.

jeśli już to ciasteczka usuwasz tak :

[PHP] pobierz, plaintext 
setcookie("user", $data['id'], time() - 3600 * 24 * 30, "/", "", "0");
[PHP] pobierz, plaintext 

Ten post edytował gothye 15.06.2010, 18:31:30

Dalej nic z tego. Nie mam pojęcia, czemu nie chce się usunąć.

Ten post edytował arzach 15.06.2010, 18:35:16

moze zmien paramete securee ( "0" ) na NULL

Dalej to samo nie da się usnąć.

Ja mam propozycję żebyś to napisał od nowa z użyciem sesji. Pomijając kwestię problemu z usunięciem ciasteczka z przeglądarki pozostają kwestie bezpieczeńswa.

[PHP] pobierz, plaintext 
$result = mysql_query("SELECT * FROM uzytkownicy WHERE id='".$_COOKIE['user']."' LIMIT 1");
[PHP] pobierz, plaintext 

To jest mocno podatne na iniekcję sql, zresztą sprawdzanie loginu i hasła też. Chyba że masz magic_quotes włączone.

Do tego nie potrzeba wcale się logować żeby być zalogowanym. Oznacza to że jeśli rozszerzysz skrypt o rozpoznawanie jakiegoś admina od zwykłych userów to kwestia znalezienia jego id to będą najwyżej pojedyncze minuty.

Proponuję przynajmniej napisać na początku tego pliku i wszystkich innych session_start() i używania $_SESSION zamiast $_COOKIE oraz upewnienie się że jest włączone magic_quotes_gpc. A docelowo radzę poczytać więcej o sesjach i sposobach ataków na nie, a także SQL Injection.

Netmare... Magic_quotes to złe rozwiązanie. Mi osobiście tyle krwi już napsuło, że głowa boli. Jak programista powinieneś kontrolować co jest escape'owane, a co nie, bo czasem jest to uszczęśliwianie na siłę. Wrzucasz tekst, chcesz go "czysty", a się okazuje, że na dzień dobry masz go już poprawionego i musisz go przywracać do starej formy bo taką masz dyrektywę domyślnie ustawioną i nie możesz jej zmienić ani w htaccess, ani nijak, tylko musisz wykrywać czy jest włączona i reagować odpowiednio.

Do autora zaś tematu. Co z tego, że niby ciacho usuwasz, skoro w kodzie nie widzę jego niszczenia? Inna sprawa, że ciacho działa nawet z datą przeszłą do czasu zamknięcia strony Do tego czasu sprawdzanie poprzez isset zwróci nam true. Ja już co sprawdzaj wartość w nim zaszytą, czy jest prawidłowa, bo powinna być większa niż aktualny czas. Jeśli nie jest... ważność się skończyła.

@ thek

nie uznaję MQ, starałem się tylko wskazać mocno początkującemu koledze podstawowe luki w zabezpieczeniach, bez niepotrzebnych na jego poziomie wywodów (IMG:style_emoticons/default/winksmiley.jpg)

Ale w PHP6 MQ nie będzie, więc wywody są potrzebne. (IMG:style_emoticons/default/winksmiley.jpg)