[php]scrypt logowania IE vs FF i OPERA, nie wchodzi do petli, blad przekazania formularza, ale jaki? Opcje

[Ciubas]

plik panel.php:

[PHP] pobierz, plaintext 
<?php
session_start();
if ($_POST['logowanie']!=='loguj' || $_POST['logowanie']=='loguj'){$_SESSION['haslo']=$_POST['haslo'];};
$pas='test';
if ($_GET['edycja']==""){$_GET['edycja']='strgl';};
$edycja = $_GET['edycja'] . '.txt';
if ($_SESSION['haslo']!==$pas ||  $_SESSION['haslo']==$pas){
?>
<html>
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2" />
</head>
<body>
<?php
 
if ($_POST['edytor_poszedl'] == "Zapisz zmiany") {
$_POST['strona']=ereg_replace("","",$_POST['strona']);
file_put_contents($edycja,$_POST['strona']);
}
 
include("spaw2/spaw.inc.php"); 
$content = file_get_contents($edycja);
$spaw = new SpawEditor("strona", $content); 
?>
<form class="" action="panel.php?edycja=<?php echo $_GET['edycja'];?>" method="POST">
 
<?php 
$spaw->show(); 
?>
<input type="submit" name="edytor_poszedl" value="Zapisz zmiany">
</form>
<br/>
edytuj: <a href="panel.php?edycja=strgl"> strona główna </a>  <a href="panel.php?edycja=cennik"> cennik </a>
<?php 
}
else
{  ?>
<form class="" action="panel.php" method="POST">
<input type="password" name="haslo">
<input  type="submit" name="logowanie" value="loguj"> 
</form>
<?php 
};
?>
 
</body>
</html>
[PHP] pobierz, plaintext 

problem:
po przejsciu na inna zakladke tzn edycje inne pliku linkiem: <a href="panel.php?edycja=cennik"> cennik
zmienna $_SESSION['haslo'] jest pusta, zero. jak zmienialem ten scrypt to w ogole albo IE albo FF wraz z OPERA sie nie chcialy logowac i tak na zmiane.

w tej chwili nie pyta nawet o logowanie, wchodzi od razu tak jak byl zalogowany mimo ze post i session sa puste, juz nic nie rozumiem:/

plik w ktorym to jest to panel.php - ten sam gdzie inda wszystkie formy

blad moim zdaniem tkwi tutaj:

$_POST['logowanie']!=='loguj' || $_POST['logowanie']=='loguj' gdy jest bez !== nie dziala, gdy jest == dziala tylko na IE lub w ogole:/


-------------------------
tak chyba jest lepiej
te kawałki html'a nie będą przeszkadzały
większość kodu to PHP więc całość należało
umieścić w BBCode [ php ]
~Cienki1980

bede juz pamietac, dziekuje!
~ciubas


Ten post edytował Ciubas 22.03.2007, 16:30:59

[erix]

[PHP] pobierz, plaintext 
<?php
if ($_POST['logowanie']=='loguj'){$_SESSION['haslo']=$_POST['haslo'];};
$pas='test';
?>
[PHP] pobierz, plaintext 

Za każdym razem wysyłasz dane z formularza logowania?
Wydaje mi się, że nie więc dlaczego za każdym razem sprawdzasz, jakie hasło zostało wpisane?

Ten kawałek kodu działa tylko, gdy jest logowanie, ok. Ale ustaw

[PHP] pobierz, plaintext 
<?php
$_SESSION['pas'] = 'test';
?>
[PHP] pobierz, plaintext 

i sprawdzaj potem

[PHP] pobierz, plaintext 
<?php
//zamiast: if ($_SESSION['haslo']!==$pas ||  $_SESSION['haslo']==$pas){
if(!empty($_SESSION['pas'])){
?>
[PHP] pobierz, plaintext 

Bazujesz się na zmiennej, która po prostu nie istnieje w dalszych skryptach ($pas - ustawiana jest tylko przy logowaniu, bo nie odwołujesz się poprzez formularz).

Mój przykład oczywiście był najprostszy, ale nie znaczy, że nie jest w miarę bezpieczny (wyłączam tu przypadki przechwycenia SID-a albo manipulację w plikach sesji).

Ten post edytował erix 22.03.2007, 15:11:27

[Ciubas]

[PHP] pobierz, plaintext 
<?php
if ($_POST['logowanie']=='loguj'){$_SESSION['haslo']=$_POST['haslo'];};
$pas='test';
?>
[PHP] pobierz, plaintext 

Za każdym razem wysyłasz dane z formularza logowania?
Wydaje mi się, że nie więc dlaczego za każdym razem sprawdzasz, jakie hasło zostało wpisane?

nie za kazdym razem, to tylko sprawdza czy wlasnie ktos sie loguje, czy juz byl zalogowany, jak byl to to omija, jak nie byl to sprawdza czy wpisal dobre haslo

Ten kawałek kodu działa tylko, gdy jest logowanie, ok. Ale ustaw

[PHP] pobierz, plaintext 
<?php
$_SESSION['pas'] = 'test';
?>
[PHP] pobierz, plaintext 

i sprawdzaj potem

[PHP] pobierz, plaintext 
<?php
//zamiast: if ($_SESSION['haslo']!==$pas ||  $_SESSION['haslo']==$pas){
if(!empty($_SESSION['pas'])){
?>
[PHP] pobierz, plaintext 

Bazujesz się na zmiennej, która po prostu nie istnieje w dalszych skryptach ($pas - ustawiana jest tylko przy logowaniu, bo nie odwołujesz się poprzez formularz logowania).

wcale nie, tej if konczy sie znacznie wczesniej, w tej samej linijce, ten pass zawsze jest taki sam

Mój przykład oczywiście był najprostszy, ale nie znaczy, że nie jest w miarę bezpieczny (wyłączam tu przypadki przechwycenia SID-a albo manipulację w plikach sesji).

to jest nieistotne, bo problem dotyczy czego innego, dlaczego IE nie wchodzi do if a FF i OPERA tak...

o co mi chodzi i co sie dzieje: http://ciubas.pl/panel.php haslo test

Ten post edytował Ciubas 22.03.2007, 15:28:51