[php][mysql] Sprawdzanie poprawności skryptu Opcje

[Piotrwusek]

mam takie coś i mi wyrzuca że nie moge sie zalogować

laguj.php

[PHP] pobierz, plaintext 
<?
include("config.php");
 
 mysql_connect(HOST, ROOT, PASS) or die ("Nie masz uprawnien");
mysql_select_db(BAZA);
 
$name=$_POST['name'];
$haslo=$_POST['haslo'];
 
 
 
if ($_POST['name'] == '') {
echo "<font color=#ff0000>Podaj nick</font>";
}
 
 
if ($_POST['haslo'] == '') {
echo "<font c
olor=#ff0000>Podaj hasło</font>";
}
 
 
$n = mysql_query ("SELECT name FROM zsp3a_uzytkownik WHERE id=1");
while($row1  = mysql_fetch_assoc($n))
 
 
 
$nn = mysql_query ("SELECT haslo FROM zsp3a_uzytkownik WHERE id=1");
while($row2  = mysql_fetch_assoc($nn))
 
 
 
if ($row1 == $name&&$row2 == $haslo)
 
 {
$_SESSION['name'] = $_POST['name'];
$_SESSION['haslo'] = $_POST['haslo'];
echo "<font color=#000000>Zostałeś zalogowany...</font>";
}
   else
   {
	  echo 'Nie zostałeś zalogowany!';
   }
 
 
 
?>
[PHP] pobierz, plaintext 

formularz.php

[HTML] pobierz, plaintext 
<form name="" action="loguj.php" method="post">
Name: <input type="text" name="name" value="" />
Hasło: <input type="password" name="haslo" value="" />
<input type="submit" value="Zaloguj" />
[HTML] pobierz, plaintext 

w config.php znajduje sie definicja sałych dotyczących łaczności z bazą

Ten post edytował Piotrwusek 13.07.2007, 21:08:21

[maziak]

No coz, wiele nie zrobie, ale powtórze Ci to co napisał UDAT w nieco innej formie, bo wylapal chyba wszystkie bledy. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Zmienna $submit na początku, zdaje sie w ogóle nie mieć wartosci.

Nazwa zmiennej w tablicy $_POST jest okreslana przez atrybut name="" formularza. Ty pole formularza odpowiadajacym za haslo (linia 45) nazwales "haslo", a w linii 14 wprawdzasz, czy ustalona jest zmienna "password"(a nie jest, bo jak by miala byc? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ).

Zapytanie do bazy, mogles zalatwic w ten sposob

[SQL] pobierz, plaintext 
SELECT name,haslo FROM zsp3a_uzytkownik WHERE id=1
[SQL] pobierz, plaintext 

name i haslo - po przecinku, wtedy jedna zmienna(tablica) odwolywala by sie i do hasla i do nazwy uzytkownika.

Zwoja droga, straszny system logowania. Zwlaszcza to where id=1 (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)
A co jak bedziesz mial dwoch uzytkownikow?(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Lepiej dac takie zapytanie

[PHP] pobierz, plaintext 
<?php
$haslo=htmlspecialchars($_POST['haslo'])
$name=htmlspecialchars($_POST['name'])
SELECT * FROM zsp3a_uzytkownik WHERE name='".$name."' AND haslo='".$haslo."' ";
?>
[PHP] pobierz, plaintext 

I sprawdzić czy wynik takiego zapytania istnieje, czy ma wiecej niz 0 linijek. Jezeli ma - kombinacja haslo i ID - poprawne. Jezeli nie - niepoprawne.

htmlspecialchars zabezpiecza w pewnym stopniu od SQLInjection.

Oraz szczerze - męczysz się z tym skryptem juz od paru dni, zadajac duzo pytan na ktore odpowiedzi nie trzeba wcale szukać. Wystarczylo by zebyc przerobil pare kursow PHP/MySQL, lub kupil sobie ksiazke (Polecam - PHP i MySQL Vadamecum profesjonalisty - Luke Welling, Laura Thomson). Przerobienie kursow zajmie Ci góra pol dnia, a po przerobieniu ich taki skrypt, w wydaniu duzo bardziej profesjonalnym, zajmie Ci gora - drugie pol (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)