[MySQL][PHP]Cookie a sesja, cookie w sesji Opcje

[krystian19]

Witam. Mam taki prosty system rejestracji i logowania użytkowników z bazy danych na swojej stronce. Wszystko działa poprawnie. Chciałbym jednak zrobić coś na styl autologowania aby użytkownik za każdym razem nie musiał wpisywać loginu i hasła, a został albo automatycznie zalogowany albo zostało mu już login i haslo wyświetlone, gotowe tylko do zatwierdzenia. Kombinowałem na różne sposoby z setcookie($login, $haslo, time()+9999); if(!isSet($_COOKIE['wyslane']) && !isSet($_POST['wyslane'])){ ale nic mi z tego nie wychodzi :/ Bardzo proszę o pomoc.

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start(); // rozpoczecie sesji
?>
 
 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<title>stronka</title>
<link rel="stylesheet" type="text/css" href="style.css" />
<p><span class="styl2"><font face="Comic Sans MS" color="#006699">Zaloguj się</font></span><br>
<div class="content2">
 
<?php
 
if (!isset($_SESSION['login'])) { 
 
    if ($_POST['wyslane']) { 
 
        include 'baza.php'; 
        $tabela = 'uzytkownicy'; 
 
 
        $login = $_POST["login"];
        $haslo = $_POST["haslo"];
 
setcookie($login, $haslo, time()+9999);
 
 
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=0");
 
 
        if (mysql_num_rows($wynik) == 1) {
            $info = mysql_fetch_array($wynik);
           echo '<span class="1">Nie aktywowałeś jeszcze konta</span>';
 
        }
 
 
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=1");
 
 
        if (mysql_num_rows($wynik) == 1) {
            $info = mysql_fetch_array($wynik);
            $_SESSION["login"] = $info["login"];
			 $_SESSION["imie"] = $info["imie"];
			  $_SESSION["nazwisko"] = $info["nazwisko"];
			    $_SESSION["image"] = $info["image"];
 
				$last_login = date('YmdHis');	
 
 
 
            header('Location: index.php ');
        } else {
            echo '<span class="2">Zostały wprowadzone złe dane!</span>';
        }
        mysql_close($polaczenie);
    }
 
 
    echo <<< KONIEC
 
    <form class="form" action="logowaniee.php" method="post">
    <input type="hidden" name="wyslane" value="TRUE" />
 
    <p>
	  <div class="label"><label for="login"><font color="#000000">Login</font></label></div>
<font color="#000000">
	  <input type="text" name="login" id="login" />
</font>
 
	<p>
	  <div class="label"><label for="haslo"><font color="#000000">Hasło</font></label></div>
<font color="#000000">
	  <input type="password" name="haslo" id="haslo" />
</font>
 
    <p class="submit2">
      <font color="#000000">
      <input type="submit" value="Zaloguj mnie" />
      </font>
    </p>
 
	<p class="przypomnij">
		<a href="przypomnieniee.php"><font color="#000000">Nie pamietasz hasła?</font></a>
	</p>
 
    </form>
KONIEC;
 
} else {
    header('Location: index.php'); 
}
 
if ($_GET["wylogowanie"] == "tak") {
 
    session_unset();
    session_destroy();
    header('Location: index.php'); 
}
 
?>
 
 
 
</div>
 
<p><br>
 
 
[PHP] pobierz, plaintext 

Znalazłem na internecie taką pomoc, w podobnej sprawie:


do formularza dodałem:
<input type="checkbox" name="autologin" value="1">

a do pliku

[PHP] pobierz, plaintext 
<?php
$suma_kontrolna=$_SESSION['login'].'_'.md5($_SESSION['login'].'!Q@W#E$R%T^Y&');
if(isset($_POST['autologin'])) setcookie('autologin',$suma_kontrolna,time()+3600*24*14); // 14 dni
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
if(isset($_COOKIE['autologin'])) {
    $tab=explode('_',$_COOKIE['autologin']);
    $suma_kontrolna=$tab[0].'_'.md5($tab[0].'!Q@W#E$R%T^Y&');
    if($suma_kontrolna==$_COOKIE['autologin']) $_SESSION['login']=$tab[0]; // Automatyczne logowanie
}
?>
[PHP] pobierz, plaintext 

Po zalogowaniu (przy zaznaczeniu autologowania) - loguje się ok. Naciskam wyloguj. I teraz najważniejsze. Klikam w logowanie i automatycznie mnie loguje,czyli to o co mi chodziło, ale niestety nie jako dany użytkownik, tylko po prostu loguje.
Ponawiam prośbę o pomoc...

[aachi]

Nie bardzo wiem, gdzie u Ciebie jest problem. Podrzuć może aktualną wersję pliku, zamiast starą i informację, że gdzieś dodałeś jakiśtam kod.

Za to zauważyłem kilka innych rzeczy:
Tak troszkę dziwnie napisałeś ten swój skrypt. Niepotrzebnie wysyłasz dwa zapytania do bazy danych ( jedno ze status=0 i zaraz po nim to samo ze status=1). Nie lepiej wysłać jedno zapytanie i pobrać z wyniku ten status?

Zapisujesz w ciastku login i hasło (linia 26). Nie tylko jest to niebezpieczne, ale też zastanawiam się po co to robisz? Przecież masz je zapisane w bazie i nie widzę byś gdzieś to odczytywał później.

Wrzucasz też do zapytania sql dane bezpośrednio z $_POST. Dobrze jest użyć mysql_real_escape_string() na danych przesyłanych od użytkownika przed ich wrzuceniem do zapytania.

Wrzuć listing aktualnego kodu to może ktoś Ci pomoże.

[krystian19]

Witam, dzięki za rady AACHI. Ogólnie mój problem polega na tym, że chciałbym aby działało autologowanie. Nie wiem jak to zrobić prawidłowo, Kod który dorzuciłem ten z cookie po prostu skopiowałem. I to działa, niestety nie do końca. Mianowicie pierwszy raz loguje poprawnie, ale nastepnie już loguje ale nie jako dana osoba powiazana z sesją.
Zdaje sobie sprawę że zapisywanie ciasteczka jest niezbyt poprawne z uwagi na niebezpieczeństwo, ale nie mam innego pomysłu...
Podsumowując: - logowanie działa, chciałbym jednak, że za każdym razem jak dana osoba wejdzie na stronę będzie automatycznie zalogowana, aż do momentu kiedy naciśnie wyloguj.
Na chwile obecną jest zalogowana tylko na czas sesji.

[PHP] pobierz, plaintext 
 
<?php
ob_start();
session_start(); // rozpoczecie sesji
?>
<style type="text/css">
<!--
.styl2 {font-size: 18px}
-->
</style>
 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<title>stronka</title>
<link rel="stylesheet" type="text/css" href="style.css" />
<p><span class="styl2"><font face="Comic Sans MS" color="#006699">Zaloguj się</font></span><br>
<div class="content2">
   1.
      <?php
      $suma_kontrolna=$_SESSION['login'].'_'.md5($_SESSION['login'].'!Q@W#E$R%T^Y&');
      if(isset($_POST['autologin'])) setcookie('autologin',$suma_kontrolna,time()+3600*24*14); // DODANY KOD
      ?>
 
 
 
 
<?php
 
 
 
if (!isset($_SESSION['login'])) { 
 
    if ($_POST['wyslane']) { 
 
        include 'baza.php'; 
        $tabela = 'uzytkownicy'; 
 
 
        $login = $_POST["login"];
        $haslo = $_POST["haslo"];
 
 
if(isset($_COOKIE['autologin'])) {
    $tab=explode('_',$_COOKIE['autologin']);
    $suma_kontrolna=$tab[0].'_'.md5($tab[0].'!Q@W#E$R%T^Y&');
    if($suma_kontrolna==$_COOKIE['autologin']) $_SESSION['login']=$tab[0]; // Automatyczne logowanie DODANY KOD
 
}
 
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=0");
 
 
        if (mysql_num_rows($wynik) == 1) {
            $info = mysql_fetch_array($wynik);
           echo '<span class="1">Nie aktywowałeś jeszcze konta</span>';
 
        }
 
 
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=1");
 
 
        if (mysql_num_rows($wynik) == 1) {
            $info = mysql_fetch_array($wynik);
            $_SESSION["login"] = $info["login"];
			 $_SESSION["imie"] = $info["imie"];
			  $_SESSION["nazwisko"] = $info["nazwisko"];
			    $_SESSION["image"] = $info["image"];
 
				$last_login = date('YmdHis');	
 
 
 
            header('Location: index.php ');
        } else {
            echo '<span class="2">Zostały wprowadzone złe dane!</span>';
        }
        mysql_close($polaczenie);
    }
 
 
    echo <<< KONIEC
 
    <form class="form" action="logowaniee.php" method="post">
    <input type="hidden" name="wyslane" value="TRUE" />
 
    <p>
	  <div class="label"><label for="login"><font color="#000000">Login</font></label></div>
<font color="#000000">
	  <input type="text" name="login" id="login" />
</font>
 
	<p>
	  <div class="label"><label for="haslo"><font color="#000000">Hasło</font></label></div>
<font color="#000000">
	  <input type="password" name="haslo" id="haslo" />
</font>
<input type="checkbox" name="autologin" value="1">Autologowanie 
    <p class="submit2">
      <font color="#000000">
      <input type="submit" value="Zaloguj mnie" />
      </font>
    </p>
 
	<p class="przypomnij">
		<a href="przypomnieniee.php"><font color="#000000">Nie pamietasz hasła?</font></a>
	</p>
 
    </form>
KONIEC;
 
} else {
    header('Location: index.php'); 
}
 
if ($_GET["wylogowanie"] == "tak") {
 
 
    session_unset();
    session_destroy();
    setcookie('autologin',false);            //DODANY KOD
    header('Location: index.php'); 
}
 
?>
 
 
 
</div>
 
<p><br>
 
[PHP] pobierz, plaintext 

[aachi]

Ja autologowanie robię tak, że jeśli ktoś zaznaczy podczas logowania, odpowiednią opcję, to zapisuję w bazie id użytkownika, przeglądarkę, czas wygaśnięcia autologowania i jakiś unikalny_ciąg. I ten unikalny ciąg zapisuję u użytkownika w ciastku.
Przy ponownym wejściu użytkownika (niezalogowanego oczywiście), sprawdzam czy istnieje odpowiednie ciastko z danymi. Jeśli istnieje to pobieram z bazy wiersz i sprawdzam czy dane się zgadzają. Jeśli nie wysyłam polecenie wygaśnięcia ciastka. Jeśli tak to ustawiam odpowiednie zmienne sesyjne.

Czyli w sumie robię to samo co i Ty próbujesz zrobić. (IMG:style_emoticons/default/smile.gif)

Przeanalizowałem pobieżnie Twój kod i chyba znalazłem błąd...

Obecnie sprawdzasz czy ciastko "autologin" jest ustawione wyłącznie gdy $_POST['wyslane'] jest ustawione (a więc gdy ktoś skorzysta z formularza). No i jak pisałem... twój kod jest dziwny
Powinieneś mieć raczej:

[PHP] pobierz, plaintext 
if (!isset($_SESSION['login'])) {   //Jeśli user nie jest zalogowany to
if ($_POST['wyslane']) {          //Sprawdzamy czy user się loguje, jeśli tak to próbujemy go zalogować
   include 'baza.php';
   $tabela = 'uzytkownicy';
   $login = mysql_real_escape_string($_POST["login"]);   //Zabezpieczamy się przed mysql injection
   $haslo = mysql_real_escape_string($_POST["haslo"]);
 
   $wynik=mysql_query("SELECT * FROM $tabela WHERE login='$login' and haslo='$haslo' LIMIT 1") or die('Blad bazy!!!');   //Sprawdzamy czy istnieje osoba o takim loginie i hasle w bazie
   if (mysql_num_rows($wynik) == 1) {     //Jeśli taka osoba istnieje to...
      $info = mysql_fetch_array($wynik);
      if ($info['status']==0) {            //Sprawdzamy czy osoba ma status 0. Jesli tak to wyświetlamy komunikat o potrzebie aktywacji
      echo '<span class="1">Nie aktywowałeś jeszcze konta</span>';
      } elseif ($info['status']==1) {     //Jeśli status=1 to logujemy osobę
         $_SESSION["login"] = $info["login"];
         $_SESSION["imie"] = $info["imie"];
         $_SESSION["nazwisko"] = $info["nazwisko"];
         $_SESSION["image"] = $info["image"];
         $last_login = date('YmdHis');
         header('Location: index.php ');
      }
   } else {     //Jeśli nie ma w bazie usera o podanym loginie i hasle, to wyświetlamy komunikat
          echo '<span class="2">Zostały wprowadzone złe dane!</span>';
   }
} else {    //Jeśli user jest niezalogowany i nie skorzystał z formularza to sprawdzamy czy ma ustawione autologowanie
   if(isset($_COOKIE['autologin'])) {   //Sprawdzamy czy istnieje ciastko
      $tab=explode('_',$_COOKIE['autologin']);    
      if (md5($tab[0].'!Q@WE$R%T^Y&')==$tab[1]) {  //Jeśli ciastko istnieje to sprawdzamy, czy dane w nim zapisane mają poprawny format
      //Poniżej logujemy użytkownika
         $login=mysql_real_escape_string($tab[0]);    //Zabezpieczamy przed sql injection dane przesłane od usera w ciastku
         $wynik=mysql_query("SELECT * FROM $tabela WHERE login='$login' LIMIT 1") or die('Blad bazy!!!');   //Sprawdzamy czy istnieje osoba o takim loginie w bazie
         if (mysql_num_rows($wynik) == 1) {     //Jeśli taka osoba istnieje to...
            $info = mysql_fetch_array($wynik);
            if ($info['status']==0) {            //Sprawdzamy czy osoba ma status 0. Jesli tak to wyświetlamy komunikat o potrzebie aktywacji
                echo '<span class="1">Nie aktywowałeś jeszcze konta</span>';
            } elseif ($info['status']==1 {     //Jeśli status=1 to logujemy osobę
            $_SESSION["login"] = $info["login"];
            $_SESSION["imie"] = $info["imie"];
            $_SESSION["nazwisko"] = $info["nazwisko"];
            $_SESSION["image"] = $info["image"];
            $last_login = date('YmdHis');
            }
         } else {     //Jeśli nie ma w bazie usera o podanym loginie,  to prawdopodobnie jest to próba włamania
            setcookie('autologin','',1); // kasujemy ciastko
            die();   //kończymy wykonywanie skryptu
         }
      }
   }
}
[PHP] pobierz, plaintext 

To tak na szybko przerobiłem, bez sprawdzania czy nie ma błędów.... Przeanalizuj mój kod i swój i dokonaj odpowiednich poprawek.
Jeszcze raz zaznaczam, że mojego kodu nie uruchamiałem w PHP, więc nie wiem czy nie ma literówek lub innych błędów.

Ten post edytował aachi 19.06.2011, 16:15:13