[php][mysql]skrypt logowania-kilka pytań, pytania odnośnie tego kodu Opcje

[predator]

Przerobiłem troche znaleziony w internecie kod i wygląda on następująco:

index.php

[PHP] pobierz, plaintext 
<?php
  session_start();
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
 
  if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  function ShowLogin($komunikat=""){
	  echo "$komunikat<br>";
	  echo "<form action='index.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=submit value='Zaloguj!'>";
	  echo "</form>";
	  echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>";
  }
 
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>logowanie</title>
  </head>
  <body>
  <?php
  if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  if($_SESSION["zalogowany"]!=1){
	  if(!empty($login) && !empty($haslo)){
	  {
	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){
 
		   
		  if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($login)."' AND user_haslo = '".htmlspecialchars(md5($haslo))."'"))){
			  echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
			  $_SESSION["zalogowany"]=1;
			  $_SESSION['nick'] = htmlspecialchars($login);
			  } 
			  else echo ShowLogin("zle haslo!!!");
 
			  }
			  else echo ShowLogin("nie dozwolone znaki");
			  }
 
		  }
	  else ShowLogin();
  }
  else{
  ?>
  Zalogowałeś się pomyślnie!
  <br><a href='index.php?wyloguj=tak'>wyloguj się</a>
  <?php
  }
  ?>
 
  </body>
 </html>
  <?php mysql_close(); ?>
[PHP] pobierz, plaintext 

rejestruj.php

[PHP] pobierz, plaintext 
<?php
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
  function ShowForm($komunikat=""){	//funkcja wyświetlająca formularz rejestracyjny
	  echo "$komunikat<br>";
	  echo "<form action='rejestruj.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=hidden value='1' name=send>";
	  echo "<input type=submit value='Zarejestruj'>";
	  echo "</form>";
  }
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>Formularz rejestracyjny</title>
  </head>
  <body>
  <?php
  if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
	  if(!empty($login) && !empty($haslo))	//oraz czy uzupełniono wszystkie dane
 
	  {
	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
 
		  if(mysql_num_rows(mysql_query("select * from users where user_login='".htmlspecialchars($login."'"))))ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
		  else 
		  {
			  mysql_query("insert into users values(NULL, '".htmlspecialchars($login)."', '".htmlspecialchars(md5($haslo))."')"); // zapisywanie rekordu do bazy
			  echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
			  }
			  }
			  else ShowForm("nie dozwolone znaki");
			  }
 
	  else ShowForm("Nie uzupełniono wszystkich pól!!!");
  }
  else ShowForm();
  mysql_close(); //zamykanie połączenia z bazą
  ?>
  </body>
</html>
[PHP] pobierz, plaintext 

1. czy jest ten skrypt bezpieczny? jeśli nie to jakie zmiany proponujecie
2. jak zabezpieczyć najlepiej w md5() hasło do bazy danych?

[PHP] pobierz, plaintext 
<?php
mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
?>
[PHP] pobierz, plaintext 

3. użyłem funkcji preg_match do zabezpieczenia formularza ale działa on tylko dla jednej zmiennej $login lub $haslo:

[PHP] pobierz, plaintext 
<?php
if(preg_match('#^[A-Za-z0-9_-]+$#', $login))
?>
[PHP] pobierz, plaintext 

gdy próbuje napisać tak(by obydwa pola formularza zabezpieczyć, bo co mi da że pole loginu zabezpiecze tylko jeśli w polu hasła można wpisać co sie chce..):

[PHP] pobierz, plaintext 
<?php
if(preg_match('#^[A-Za-z0-9_-]+$#', $login, $haslo))
?>
[PHP] pobierz, plaintext 

to pojawia sie błąd.

jak tego użyć by zabezpieczyć obydwa pola?

PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem...

Ten post edytował predator 16.04.2008, 16:35:51

[predator]

Kod

<?php
(string)$zmienna
?>

nie rozumiem, jak mam tego użyć?

Napisze co chce zrobić. Chciałbym by po wprowadzeniu liczby, skrypt sprawdzał czy jest poprawna, jeśli tak to mógł być wykonywany następny warunek.
Mam taki kod, ale chciałbym więcej liczb zdefiniować a nie tylko 2 i by na 0 reagowało jak na źle wprowadzony kod a nie puste pole (z tym zerem tak jak tu napisałem nie działa ale taki warunek bym chciał zrobić):

Kod

$asd = "0";

[PHP] pobierz, plaintext 
<?php
if($_POST["kod"]=="$asd"){ echo "wpisałeś tylko liczbę 0";}
	else { if($_POST["kod"]== "2"){ tu nastepne warunki }
}
?>
[PHP] pobierz, plaintext 

A wpisywałeś 0 (zero), pusty ciąg, itp?

nic nie wpisywałem i nie powinno sie wyświetlać nic nawet przy uruchomieniu skryptu odrazu też nie powinno jeśli dam else zamiast echo bo przecież nic nie zostało wprowadzone a warunek sprawdza czy pola są puste

Ten post edytował predator 21.04.2008, 15:24:24