Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php][mysql]skrypt logowania-kilka pytań, pytania odnośnie tego kodu
predator
post
Post #1





Grupa: Zarejestrowani
Postów: 40
Pomógł: 0
Dołączył: 20.02.2008

Ostrzeżenie: (0%)
-----

Przerobiłem troche znaleziony w internecie kod i wygląda on następująco:

index.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   session_start();
  3.  
  4.   $login = $_POST["login"];
  5.   $haslo = $_POST["haslo"];
  6.  
  7.  
  8.   if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
  9.  
  10.   mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  11.   mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
  12.  
  13.   function ShowLogin($komunikat=""){
  14. 	  echo "$komunikat<br>";
  15. 	  echo "<form action='index.php' method=post>";
  16. 	  echo "Login: <input type=text name=login><br>";
  17. 	  echo "Hasło: <input type=text name=haslo><br>";
  18. 	  echo "<input type=submit value='Zaloguj!'>";
  19. 	  echo "</form>";
  20. 	  echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>";
  21.   }
  22.  
  23.   ?>
  24.   <!DOCTYPE html 
  25. 	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
  26.  <html>
  27.   <head>
  28. 	  <title>logowanie</title>
  29.   </head>
  30.   <body>
  31.   <?php
  32.   if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  33.   if($_SESSION["zalogowany"]!=1){
  34. 	  if(!empty($login) && !empty($haslo)){
  35. 	  {
  36. 	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){
  37.  
  38. 		   
  39. 		  if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($login)."' AND user_haslo = '".htmlspecialchars(md5($haslo))."'"))){
  40. 			  echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
  41. 			  $_SESSION["zalogowany"]=1;
  42. 			  $_SESSION['nick'] = htmlspecialchars($login);
  43. 			  } 
  44. 			  else echo ShowLogin("zle haslo!!!");
  45.  
  46. 			  }
  47. 			  else echo ShowLogin("nie dozwolone znaki");
  48. 			  }
  49.  
  50. 		  }
  51. 	  else ShowLogin();
  52.   }
  53.   else{
  54.   ?>
  55.   Zalogowałeś się pomyślnie!
  56.   <br><a href='index.php?wyloguj=tak'>wyloguj się</a>
  57.   <?php
  58.   }
  59.   ?>
  60.  
  61.   </body>
  62.  </html>
  63.   <?php mysql_close(); ?>
[PHP] pobierz, plaintext


rejestruj.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych
  3.   mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
  4.  
  5.   $login = $_POST["login"];
  6.   $haslo = $_POST["haslo"];
  7.  
  8.   function ShowForm($komunikat=""){	//funkcja wyświetlająca formularz rejestracyjny
  9. 	  echo "$komunikat<br>";
  10. 	  echo "<form action='rejestruj.php' method=post>";
  11. 	  echo "Login: <input type=text name=login><br>";
  12. 	  echo "Hasło: <input type=text name=haslo><br>";
  13. 	  echo "<input type=hidden value='1' name=send>";
  14. 	  echo "<input type=submit value='Zarejestruj'>";
  15. 	  echo "</form>";
  16.   }
  17.   ?>
  18.   <!DOCTYPE html 
  19. 	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
  20.  <html>
  21.   <head>
  22. 	  <title>Formularz rejestracyjny</title>
  23.   </head>
  24.   <body>
  25.   <?php
  26.   if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
  27. 	  if(!empty($login) && !empty($haslo))	//oraz czy uzupełniono wszystkie dane
  28.  
  29. 	  {
  30. 	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
  31.  
  32. 		  if(mysql_num_rows(mysql_query("select * from users where user_login='".htmlspecialchars($login."'"))))ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
  33. 		  else 
  34. 		  {
  35. 			  mysql_query("insert into users values(NULL, '".htmlspecialchars($login)."', '".htmlspecialchars(md5($haslo))."')"); // zapisywanie rekordu do bazy
  36. 			  echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
  37. 			  }
  38. 			  }
  39. 			  else ShowForm("nie dozwolone znaki");
  40. 			  }
  41.  
  42. 	  else ShowForm("Nie uzupełniono wszystkich pól!!!");
  43.   }
  44.   else ShowForm();
  45.   mysql_close(); //zamykanie połączenia z bazą
  46.   ?>
  47.   </body>
  48. </html>
[PHP] pobierz, plaintext


1. czy jest ten skrypt bezpieczny? jeśli nie to jakie zmiany proponujecie
2. jak zabezpieczyć najlepiej w md5() hasło do bazy danych?
[PHP] pobierz, plaintext 
  1. <?php
  2. mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  3.   mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
  4. ?>
[PHP] pobierz, plaintext

3. użyłem funkcji preg_match do zabezpieczenia formularza ale działa on tylko dla jednej zmiennej $login lub $haslo: 
[PHP] pobierz, plaintext 
  1. <?php
  2. if(preg_match('#^[A-Za-z0-9_-]+$#', $login))
  3. ?>
[PHP] pobierz, plaintext

gdy próbuje napisać tak(by obydwa pola formularza zabezpieczyć, bo co mi da że pole loginu zabezpiecze tylko jeśli w polu hasła można wpisać co sie chce..):
[PHP] pobierz, plaintext 
  1. <?php
  2. if(preg_match('#^[A-Za-z0-9_-]+$#', $login, $haslo))
  3. ?>
[PHP] pobierz, plaintext

to pojawia sie błąd.

jak tego użyć by zabezpieczyć obydwa pola?

PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem...

Ten post edytował predator 16.04.2008, 16:35:51
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
predator
post
Post #2





Grupa: Zarejestrowani
Postów: 40
Pomógł: 0
Dołączył: 20.02.2008

Ostrzeżenie: (0%)
-----

Cytat
Poczytaj o preg_match

Szukałem długo jak zrobić, kombinowałem ale nic... I dlatego tu napisałem.

Cytat
Musisz gdzieś podać hasło "surowe", inaczej się nie połączy. Wyłącz raportowanie błędów, postaraj się uniemożliwić dostęp do podglądu źródła skryptu.


Użyje require() ale gdzie dać ten plik includowany jeśli adres strony z logowaniem to www.jakas_strona.pl/index.php ?

Katalog tego pliku powinien być wyżej niż index.php ale wyżej sie nie da chyba.

Cytat
Zamiast htmlentities w zapytaniu lepiej użyj mysql_escape_string.

Dlaczego uważasz że takie rozwiązanie lepsze?

PS Wstawiam na początku error_reporting(0); by nie wyświetlało błędów i nie ma reakcji na tę funkcję, errory dalej sie pojawiają.
Wstawiałem na początku przed session_start(), wstawiałem też przed tą linią:
[PHP] pobierz, plaintext 
  1. <?php
  2. if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  3. ?>
[PHP] pobierz, plaintext


i nie działa

Ten post edytował predator 16.04.2008, 16:37:39
Go to the top of the page
+Quote Post

Posty w temacie
- predator   [php][mysql]skrypt logowania-kilka pytań   15.04.2008, 17:28:23
- - erix   Zamiast htmlentities" title="Zobacz w manualu PHP"...   16.04.2008, 09:06:49
- - predator   CytatPoczytaj o preg_match Szukałem dług...   16.04.2008, 11:07:16
- - erix   CytatSzukałem długo jak zrobić, kom...   16.04.2008, 15:21:40
- - predator   CytatDa się, jeśli masz po zalogowaniu d...   16.04.2008, 16:52:05
- - erix   CytatNie mam takiego katalogu . Jak inaczej zabez...   16.04.2008, 17:05:29
- - predator   CytatA innego rodzaju błędy są wypi...   19.04.2008, 19:09:17
- - erix   CytatNie wiem jak takie błędy wywo...   20.04.2008, 20:03:59
- - pyro   jezeli serwer bedzie mial wylaczone magic_quotes t...   20.04.2008, 20:14:09
- - erix   http://pl2.php.net/manual/en/function.mysq...tring...   20.04.2008, 20:31:36
- - Crozin   index.php:[PHP] pobierz, plaintext <? session_...   20.04.2008, 21:46:33
- - predator   CytatTak sie zastanawiam i przecież te polece...   21.04.2008, 09:08:52
- - erix   Cytatte pola (obydwa pętlami zabezpieczyłem) mimo ...   21.04.2008, 13:35:47
- - predator   Kod<?php (string)$zmienna ?> ...   21.04.2008, 15:22:15
- - erix   Cytatnie rozumiem, jak mam tego użyć? Tak, jak pok...   21.04.2008, 15:28:03
|- - -predator-   Cytat(erix)[PHP] pobierz, plaintext <?phpempty...   22.04.2008, 11:32:48
- - predator   CytatChoć nie rozumiem trochę, po co... ...   21.04.2008, 16:21:01
- - erix   Cytatteraz jest ok ale tylko to że sie pojawi...   21.04.2008, 16:57:14
- - predator   nie, nie już poradziłem sobie z tamtym CytatNapi...   21.04.2008, 17:11:05
- - erix   [PHP] pobierz, plaintext <?phpif($_POST...   21.04.2008, 17:20:46
- - Mlodycompany   i jeszcze jedna moja uwaga. Przy wylogowywaniu zam...   21.04.2008, 17:22:17
- - predator   Chodziło o index.php bo tam jest to echo. Poprawił...   21.04.2008, 17:49:40
- - erix   Ja bym proponował Ci poprawić wszystkie klamry (na...   21.04.2008, 17:58:03
- - predator   Już rozumiem jak to działa, musi by...   21.04.2008, 18:50:35
- - potreb   [PHP] pobierz, plaintext <?phpif(!$login ...   22.04.2008, 14:57:09
- - predator   Cytati jeszcze jedna moja uwaga. Przy wylogowywani...   22.04.2008, 15:14:53
- - erix   Cytatale parse errory dalej sie pojawiają :/ ...   22.04.2008, 17:45:39
- - predator   CytatSwoją drogą, tak trochę zbacza...   22.04.2008, 18:18:25
- - erix   CytatAle ta funkcja (error_reporting(0) nie blokuj...   22.04.2008, 18:54:11
- - predator   CytatTo Ci podałem przepis z isset. też nie dział...   22.04.2008, 19:22:07
- - erix   A jaki kod Ci teraz wyszedł...? Co masz na myśli ...   22.04.2008, 19:52:18
- - predator   CytatA jaki kod Ci teraz wyszedł...? Kod $l...   22.04.2008, 20:13:55

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 9.10.2025 - 03:50
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn