[PHP] przekazywanie ostrzeżen ze skryptu logującego do formularza Opcje

[paffcio87]

Wityam :-)
Mam taki mały problem. Mianowicie mam takie 2 skrypty odpowiedzialne za lpogowanie użytkowników na stronę.
Formularz

[PHP] pobierz, plaintext 
<?php /*
session_start;
if (isset($_SESSION['pass']) or ($_SESSION['login'])) {
   echo $message;
   exit();
} //To jest próba naprawienia mojego problemu
*/?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN">  
<HTML>  
  <head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8" >  
	<meta name="generator" content="Bluefish 1.0.7">  
	<META HTTP-EQUIV="Content Type" CONTENT="text/html;charset=iso-8859-2">  
	   <TITLE>  
	  Logowanie  
	</TITLE>  
		<LINK REL="stylesheet" HREF="Style.css" TYPE="text/css">  
 
<TABLE>  
  <TR>  
   <TD>  
   <?php  
include("./menu.inc");  
	 ?>  
   </TD>
 </TR>
 </TABLE>
<center><TABLE>
 <TR>
   <TD>  
   <form action="login.php" method="POST" onreset="(!confirm('Na pewno?')) return false">
 <LEGEND>  
   <H2>Podaj dane swojego konta:</H2>  
</LEGEND>  
  <p><h6>Login: <input type= "text" name= "log" size="15" maxlengh= "10"></h6></p>  
  <p><h6>Hasło: <input type= "password" name= "password" size= "15" maxlength= "20"></h6></p>  
<div align="center"><input type= "submit" name= "submit" value="Zaloguj!"></div>
</form>
</TD>
 </TR>  
</TABLE></center>  
</BODY>  
</HTML>
[PHP] pobierz, plaintext 

oraz
skrypt logujący

[PHP] pobierz, plaintext 
<?php
$message= NULL;
ob_start();
require_once('./config.php'); 
session_start();
$log = $_POST['log'];
$password = $_POST['password'];
 
mysql_connect($dbhost, $dbuser, $dbpass);
mysql_select_db($dbname);
$query = mysql_query ("SELECT * FROM userzy WHERE login='$log'");
$row = mysql_fetch_array ($query);
 
if($row) {
  if(($password) == base64_decode($row['haslo'])) {
   $_SESSION['logowanie']= $log;
	   header("Location: index.php"); 
	 } else {
$message .= "Podane hasło jest niepoprawne!!!";
   $_SESSION['pass'] = $message;
	header("Location: logowanie.php");
		}
} else {
	$message .= "Podane przez Ciebie konto nie istnieje";
	$_SESSION['login'] = $message;
	header("Location: logowanie.php");	
	 
}
mysql_close();
ob_end_flush;
?>
[PHP] pobierz, plaintext 

I teraz mój problem polega na tym, że chem zrobić coś takiego, że jak user powiedzmy poda złe hasło (lub login) to przekierowuje go na strone z formularzem i wyskakuje napis "Podane hasło jest niepoprawne!!!" i adekwatnie ze złym loginem (Napis: "Podane przez Ciebie konto nie istnieje") nad formularzem logowania. Chciałbym żeby takie coś działo się tylko w przypadku gdy ktoś poda złe dane- kiedy loguje się po raz pierwszy to nie ma nic po za formularzem. Mam nadzieje, że wiecie o co mi chodzi :-)
Szukałem podobnego tematu, ale nie znalalęm więc proszę Was o pomoc :-)

[guitarnet.pl]

jak juz piszesz logowanie to:

- poczytaj o session hijacking - konieczni esprawdzaj IP skad sie logowano + ustaw dziwna zmienna dodatkowo i ja sprawdzaj, resetuj ja przy kazdym logowaniu

- haslo zapisuj w md5, sha1 i dodawaj swoj ciag znakow do hasla, base64 to kodowanie a nie szyfrowanie da sie odkodowac wiec bez sensu jest go stosowac do utrudniania odczytu hasla, dotego jest szyfrowanie jednostronne

- nie uzywaj ", zacznij stosowac ', przyspieszysz kod to popularny blad wsrod programistow
powinno byc:
'SELECT * FROM userzy WHERE login="'.$log.'"';

a dokladnie to powinno byc

'SELECT * FROM userzy WHERE login="'.$log.'" LIMIT 0,1';
dla pewnosci ze maksymalnie jeden rekord zostanie zwrocony albo zero wtedy badasz czy wynik == 1

- zauwazylem tez ze przesylasz haslo w postaci jawnej, to blad ((IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) ) przed wyslaniem zdarzeniem onsubmit() zakoduj haslo po stronie usera w md5 lub sha1 i wyslij zakodowane haslo, login tez mozna jak ktos lubi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) utrudnia to podsluchanie lub zapamietanie danych w komputerze
więcej:
http://skrypta.pl/porada/dlaczego_unikac_f...anej_w_mysql/44


pozdrawiam i powodzenia