[php][mysql]skrypt logowania-kilka pytań

[php][mysql]skrypt logowania-kilka pytań, pytania odnośnie tego kodu

predator Zobacz profil	15.04.2008, 17:28:23 Post #1
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 20.02.2008 Ostrzeżenie: (0%)	Przerobiłem troche znaleziony w internecie kod i wygląda on następująco: index.php [PHP] pobierz, plaintext <?php session_start(); $login = $_POST["login"]; $haslo = $_POST["haslo"]; if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0; mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych"); function ShowLogin($komunikat=""){ echo "$komunikat<br>"; echo "<form action='index.php' method=post>"; echo "Login: <input type=text name=login><br>"; echo "Hasło: <input type=text name=haslo><br>"; echo "<input type=submit value='Zaloguj!'>"; echo "</form>"; echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>"; } ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"> <html> <head> <title>logowanie</title> </head> <body> <?php if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";} if($_SESSION["zalogowany"]!=1){ if(!empty($login) && !empty($haslo)){ { if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($login)."' AND user_haslo = '".htmlspecialchars(md5($haslo))."'"))){ echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>"; $_SESSION["zalogowany"]=1; $_SESSION['nick'] = htmlspecialchars($login); } else echo ShowLogin("zle haslo!!!"); } else echo ShowLogin("nie dozwolone znaki"); } } else ShowLogin(); } else{ ?> Zalogowałeś się pomyślnie! <br><a href='index.php?wyloguj=tak'>wyloguj się</a> <?php } ?> </body> </html> <?php mysql_close(); ?> [PHP] pobierz, plaintext rejestruj.php [PHP] pobierz, plaintext <?php mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych"); $login = $_POST["login"]; $haslo = $_POST["haslo"]; function ShowForm($komunikat=""){ //funkcja wyświetlająca formularz rejestracyjny echo "$komunikat<br>"; echo "<form action='rejestruj.php' method=post>"; echo "Login: <input type=text name=login><br>"; echo "Hasło: <input type=text name=haslo><br>"; echo "<input type=hidden value='1' name=send>"; echo "<input type=submit value='Zarejestruj'>"; echo "</form>"; } ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"> <html> <head> <title>Formularz rejestracyjny</title> </head> <body> <?php if($_POST["send"]==1){ //sprawdzanie czy formularz został wysłany if(!empty($login) && !empty($haslo)) //oraz czy uzupełniono wszystkie dane { if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków if(mysql_num_rows(mysql_query("select * from users where user_login='".htmlspecialchars($login."'"))))ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje else { mysql_query("insert into users values(NULL, '".htmlspecialchars($login)."', '".htmlspecialchars(md5($haslo))."')"); // zapisywanie rekordu do bazy echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować."; } } else ShowForm("nie dozwolone znaki"); } else ShowForm("Nie uzupełniono wszystkich pól!!!"); } else ShowForm(); mysql_close(); //zamykanie połączenia z bazą ?> </body> </html> [PHP] pobierz, plaintext 1. czy jest ten skrypt bezpieczny? jeśli nie to jakie zmiany proponujecie 2. jak zabezpieczyć najlepiej w md5() hasło do bazy danych? [PHP] pobierz, plaintext <?php mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych"); ?> [PHP] pobierz, plaintext 3. użyłem funkcji preg_match do zabezpieczenia formularza ale działa on tylko dla jednej zmiennej $login lub $haslo: [PHP] pobierz, plaintext <?php if(preg_match('#^[A-Za-z0-9_-]+$#', $login)) ?> [PHP] pobierz, plaintext gdy próbuje napisać tak(by obydwa pola formularza zabezpieczyć, bo co mi da że pole loginu zabezpiecze tylko jeśli w polu hasła można wpisać co sie chce..): [PHP] pobierz, plaintext <?php if(preg_match('#^[A-Za-z0-9_-]+$#', $login, $haslo)) ?> [PHP] pobierz, plaintext to pojawia sie błąd. jak tego użyć by zabezpieczyć obydwa pola? PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem... Ten post edytował predator 16.04.2008, 16:35:51

Odpowiedzi

predator Zobacz profil	22.04.2008, 18:18:25 Post #2
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 20.02.2008 Ostrzeżenie: (0%)	Cytat Swoją drogą, tak trochę zbaczając z tematu, to po co Ci login/hasło o wartości wyłącznie "0"...? IMHO, trochę bez sensu... Nie... Mam formularz i jak ktoś wpisze hasła błędne to wyświetla mu że błędne, jeśli ktoś nie wpisze nic lub uzupełni tylko jedno pole to pojawia sie informacja że musi wypelnić pola wszystkie. I teraz o to mi chodzi że ktoś np wpisuje login jakiś i później sobie np. zapomniał hasła i wpisze liczbe 0 zamiast np 1 czy 55 lub celowo wpisze jako hasło liczbe zero i zamiast pojawić sie informacja że dane są nie poprawne to formularz reaguje tak jakby ten koleś nie wypełnił wszystkich pól a przecież wypełnił (tyle że wpisał 0). Chce po prostu by formularz po wprowadzeniu liczby 0 czy to w polu login czy w polu hasło informował ze jest to nie poprawne hasło a nie jak teraz że nie zostało nic wprowadzone. Cytat Cytatale parse errory dalej sie pojawiają :/ To popraw kod, aby ich nie było. Może brakujący średnik/cudzysłów/etc? Wykaż trochę swojej inwencji i zajrzyj do manuala/googli. Chodziło mi tu nie o to że coś w kodzie źle napisałem tylko zwyczajnie chciałem takie zabezpieczenie później zrobić po napisaniu już kodu by użytkownik nie widział błędów (jeśli by ewentualnie jakieś miały miejsce). Ale ta funkcja (error_reporting(0)(IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) nie blokuje błędów parsowania. Ten post edytował predator 22.04.2008, 18:36:29

Posty w temacie

predator [php][mysql]skrypt logowania-kilka pytań 15.04.2008, 17:28:23

erix Zamiast htmlentities" title="Zobacz w manualu PHP"... 16.04.2008, 09:06:49

predator CytatPoczytaj o preg_match Szukałem dług... 16.04.2008, 11:07:16

erix CytatSzukałem długo jak zrobić, kom... 16.04.2008, 15:21:40

predator CytatDa się, jeśli masz po zalogowaniu d... 16.04.2008, 16:52:05

erix CytatNie mam takiego katalogu . Jak inaczej zabez... 16.04.2008, 17:05:29

predator CytatA innego rodzaju błędy są wypi... 19.04.2008, 19:09:17

erix CytatNie wiem jak takie błędy wywo... 20.04.2008, 20:03:59

pyro jezeli serwer bedzie mial wylaczone magic_quotes t... 20.04.2008, 20:14:09

erix http://pl2.php.net/manual/en/function.mysq...tring... 20.04.2008, 20:31:36

Crozin index.php:[PHP] pobierz, plaintext <? session_... 20.04.2008, 21:46:33

predator CytatTak sie zastanawiam i przecież te polece... 21.04.2008, 09:08:52

erix Cytatte pola (obydwa pętlami zabezpieczyłem) mimo ... 21.04.2008, 13:35:47

predator Kod<?php (string)$zmienna ?> ... 21.04.2008, 15:22:15

erix Cytatnie rozumiem, jak mam tego użyć? Tak, jak pok... 21.04.2008, 15:28:03

-predator- Cytat(erix)[PHP] pobierz, plaintext <?phpempty... 22.04.2008, 11:32:48

predator CytatChoć nie rozumiem trochę, po co... ... 21.04.2008, 16:21:01

erix Cytatteraz jest ok ale tylko to że sie pojawi... 21.04.2008, 16:57:14

predator nie, nie już poradziłem sobie z tamtym CytatNapi... 21.04.2008, 17:11:05

erix [PHP] pobierz, plaintext <?phpif($_POST... 21.04.2008, 17:20:46

Mlodycompany i jeszcze jedna moja uwaga. Przy wylogowywaniu zam... 21.04.2008, 17:22:17

predator Chodziło o index.php bo tam jest to echo. Poprawił... 21.04.2008, 17:49:40

erix Ja bym proponował Ci poprawić wszystkie klamry (na... 21.04.2008, 17:58:03

predator Już rozumiem jak to działa, musi by... 21.04.2008, 18:50:35

potreb [PHP] pobierz, plaintext <?phpif(!$login ... 22.04.2008, 14:57:09

predator Cytati jeszcze jedna moja uwaga. Przy wylogowywani... 22.04.2008, 15:14:53

erix Cytatale parse errory dalej sie pojawiają :/ ... 22.04.2008, 17:45:39

predator CytatSwoją drogą, tak trochę zbacza... 22.04.2008, 18:18:25

erix CytatAle ta funkcja (error_reporting(0) nie blokuj... 22.04.2008, 18:54:11

predator CytatTo Ci podałem przepis z isset. też nie dział... 22.04.2008, 19:22:07

erix A jaki kod Ci teraz wyszedł...? Co masz na myśli ... 22.04.2008, 19:52:18

predator CytatA jaki kod Ci teraz wyszedł...? Kod $l... 22.04.2008, 20:13:55

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl