Panel Administracyjny - sesje Opcje

[MGreg]

Witam!
Tworzę prosty system zarządzania treścią i do logowania się do Panelu Administracyjnego chcę zastosować sesję. Podczas instalacji skryptu tworzy się tabela admin, a w niej login, hasło itp. Później, loguję sie do PA. Sesja, którą rozpoczynam wygląda tak:
Wykonuję zapytanie do sql:

[PHP] pobierz, plaintext 
<?php
$zapytanie = "select login, pass from admin";
$wykonaj_zapytanie = mysql_query($zapytanie);
 
while ($wiersz = mysql_fetch_row($wykonaj_zapytanie)) 
 {
	$login=$wiersz[0];
	$haslo=$wiersz[1];	
 }
?>
[PHP] pobierz, plaintext 

Tutaj sprawdza, czy podany login i hasło w formularzu są takie same jak w bazie danych:

[PHP] pobierz, plaintext 
<?php
if($_POST['login'] == $login and $_POST['pass'] == $haslo)
	{		
		pa(); //Panel Adm.
		session_register("admin+$login+$haslo");  Rejestrowanie sesji  
	}
 
 
iif (!session_is_registered("admin+$login+$haslo"))
	{
		login_pa_form();
	}
?>
[PHP] pobierz, plaintext 

Później mam w panelu plik odpowiedzialny za konfigurację strony konfiguracja php a w nim

[PHP] pobierz, plaintext 
<?php
session_start();
include('../mysql_config.php');
pol_mysql();
$zapytanie = "select login, pass from admin";
$idzapytania = mysql_query($zapytanie);
 
while ($wiersz = mysql_fetch_row($idzapytania)) 
 {
	$login=$wiersz[0];
	$haslo=$wiersz[1];	
 }
if (session_is_registered("admin+$login+$haslo"))
{
Jakiś panel konfiguracyjny
}
?>
[PHP] pobierz, plaintext 

Jak widać zarejestrowana sesja wygląda tak: admin+$login+$haslo, czy takie zastowanie sesji jest bezpieczne?
Pewnie dla Was to jest śmieszne, ale ja jestem początkujący (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował MGreg 10.11.2007, 19:27:14

[rolnix]

Wyliczaj sobie hash md5 ze stringa "$user$password" i wtedy porównuj.
Edit: poza tym rób coś w stylu

Kod

SELECT blabla from blabla WHERE login=$_POST['login'] AND pass=$_POST['pass']

Oczywiście wszystko zabezpiecz. Patrzę na "from admin"... masz oddzielną tabelę na jedną wartość?!

Ten post edytował rolnix 10.11.2007, 19:34:30

[MGreg]

W tabeli admin mam login, hasło i adres email admina (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) rekordy są dodawane podczas instalacji.

Teraz zrobiłem tak: jeśli dane z formularza zgadzają się z danymi w bazie danych, to rozpoczynana jest następująca sesja:

[PHP] pobierz, plaintext 
<?php
if($_POST['login'] == $login and $_POST['pass'] == $haslo)
	{		
		pa();
		session_register(md5("admin$login$haslo"));
	}
?>
[PHP] pobierz, plaintext 

Później w pliku np. konfiguracja.php mam takie coś:

[PHP] pobierz, plaintext 
<?php
if(session_is_registered(md5("admin$login$haslo")))
	{
			panel_konfiguracyjny();
	}
?>
[PHP] pobierz, plaintext 

Czy takie coś będzie bezpieczne?

[domis86]

....Jak widać zarejestrowana sesja wygląda tak: admin+$login+$haslo...

Jaka zarejestrowana sesja? Rejestrujesz zmienną globalną o nazwie "admin+$login+$haslo" w sesji (a taka zmienna nie istnieje wiec bedzie to mialo wartosc NULL).

A w ogole to po ch** uzywacie register_globals? RTFM (IMG:http://forum.php.pl/style_emoticons/default/angrysmiley.gif)

przeczytaj przykład i "cautions":
http://pl.php.net/manual/en/function.session-register.php

i za kazdym razem jak bedziesz chcial uzyc jakiejs nieznanej funkcji to -> manual


PS: Zapamietac: jak chcecie uzywac sesje to zdajcie sie na tablice $_SESSION

Ten post edytował domis86 11.11.2007, 18:23:42