[php + mysql] logowanie/wylogowanie

[php + mysql] logowanie/wylogowanie

prz3m3k Zobacz profil	12.08.2006, 23:03:18 Post #1
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 3.02.2005 Ostrzeżenie: (0%)	Logowanie do panelu newsów w którym to panelu w pełni edytujemy newsy dodajemy/usuwamy itd. nie to jest ważne... wazne jest to czy chodź trochę bezpiecznie się to odbywa (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) w php piszę od niedawna i jest mój pierwszy skrypt zamieszczony do oceny, proszę krytykować do woli (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) plik login.php ma za zadanie sprawdzenie czy login i hasło podane w formularzu logowania zgadzają się z loginem i hasłem w bazie mysql. [PHP] pobierz, plaintext <?php if(!session_id()) { unset($_COOKIE[session_name()]); } error_reporting( E_ALL ); session_start(); if(isset($_POST['login']) && isset($_POST['haslo'])) { $login = $_POST['login']; $haslo = $_POST['haslo']; $db = mysql_connect('host', 'login', 'haslo') or die('Nie mogę połączyć się z bazą danych'.mysql_error()); mysql_select_db('baza') or die('Nie mogę połączyć się z bazą danych'.mysql_error()); $passwd = md5(sha1($haslo)); /zakodowanie hasła/ $zapytanie = "SELECT * FROM users WHERE user='$login' AND passwd='$passwd'"; $wynik = mysql_query($zapytanie); $query = "SELECT passwd FROM users WHERE user='$login'"; $r = mysql_fetch_array(mysql_query($query)); if($r['passwd'] === $passwd){ if(mysql_num_rows($wynik) == 1) { $_SESSION['prawid_uzyt'] = $login.session_id(); $_SESSION['prawid'] = $login; } else echo '<center>!!! Błędne logowanie !!!</center>'; } else echo '<center>!!! Błędne logowanie !!!</center>'; mysql_close($db) or die('Nie mogę się rozłączyć z bazą danych !'.mysql_error()); } ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="content-type" content="text/html; charset=iso-8859-2" /> <meta http-equiv="reply-to" content="" /> <meta name="generator" content="" /> <meta name="author" content="" /> <meta name="description" content="" /> <title>..:: Logowanie do newsów ::..</title> <STYLE TYPE="text/css"> <!-- body { font-family: verdana; font-weight: normal; font-size: 10pt; color: #00000; margin: 0px; padding: 0px; } a:link { color: #603913; text-decoration: none; } a:visited { color: #603913; text-decoration: none; } a:hover { text-decoration: underline; } --> </STYLE> </head> <body> <?php if(isset($_SESSION['prawid_uzyt'])) { header('Location: panel.php?sid='.session_id().'&la=pl'); } else { if(isset($login)) { echo '<center>!!! Zalogowanie niemożliwe !!!</center>'; } echo '<br /><br /><center><h3><b>Logowanie do systemu newsów</b></h3></center><br /><br /><br /><br />'; echo '<form method="post" action="login.php">'; echo '<table border="0" align="center">'; echo '<tr><td>Login:</td>'; echo '<td align="center"><input type="text" name="login"></td></tr>'; echo '<tr><td>Hasło:</td>'; echo '<td align="center"><input type="password" name="haslo"></td></tr>'; echo '<tr><td colspan="2" align="center">'; echo '<input type="submit" value="Loguj"></td></tr>'; echo '</table></form>'; echo '<br /><br /><center><a href="">Strona główna</a></center><br /><br /><br /><br />'; } ?> </body> </html> [PHP] pobierz, plaintext każdy następny plik rozpoczyna się: [PHP] pobierz, plaintext <?php session_start(); if(isset($_SESSION['prawid_uzyt']) && session_id() === $sid) { to coś tam } ?> [PHP] pobierz, plaintext wylogowanie: [PHP] pobierz, plaintext <?php session_start(); unset($_SESSION['prawid_uzyt']); unset($_SESSION['prawid']); unset($_COOKIE[session_name()]); session_destroy(); ?> [PHP] pobierz, plaintext Ten post edytował prz3m3k 12.08.2006, 23:03:57

Odpowiedzi

SHiP Zobacz profil	13.08.2006, 18:19:21 Post #2
Grupa: Zarejestrowani Postów: 697 Pomógł: 47 Dołączył: 19.12.2003 Skąd: Lublin Ostrzeżenie: (0%)	Jesli ten skrypt jest tylko dla Ciebie to nie jest źle ;]. Jesli chcesz natomiast to puscić w świat to kilka uwag... Kod <?php if(isset($_SESSION['prawid_uzyt']) && session_id() === $sid) { to coś tam } ?> 1. Odwolujesz sie do $sid zamiast do $_GET['sid'] wiec przypuszczasz ze register globals są właczone ;] Niedobrze ;p 2. Jeśli inny administrator bedzie chciał z tego kożystać a bedzie mial wyłaczone cookies to co wtedy? 3. A jeśli serwer ma domyślnie wyłączone magic_quotes ;] ? Zero ochrony przed sql injection ;]

Posty w temacie

prz3m3k [php + mysql] logowanie/wylogowanie 12.08.2006, 23:03:18

Cysiaczek Cytat[PHP] pobierz, plaintext <?php$zapytanie =... 13.08.2006, 00:37:06

SHiP Jesli ten skrypt jest tylko dla Ciebie to nie jest... 13.08.2006, 18:19:21

prz3m3k 1. okej poprawię 2. nie będzie z tym problemu. 3.... 13.08.2006, 19:06:30

SHiP [PHP] pobierz, plaintext <?php $var = (get... 13.08.2006, 19:39:47

prz3m3k hmmmm czy jak na serwerze jest włączone magic_quot... 13.08.2006, 20:26:44

SHiP No tak w twoim przypadku to bedzie bezpieczne... C... 13.08.2006, 22:52:34

bim2 Now łasnie. A jeśli np admin wyłączy ci magci quot... 14.08.2006, 17:51:59

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl