Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Problem z wylogowaniem
arzach
post
Post #1





Grupa: Zarejestrowani
Postów: 332
Pomógł: 6
Dołączył: 27.11.2008

Ostrzeżenie: (0%)
-----

Witam napisałem prosty skrypt logowania i mam problem z wylogowaniem. Mimo że podczas wylogowania $_COOKIE['user'] jest usuwane to dalej istnieje. I nie można się wylogować.
Plik logowanie
[PHP] pobierz, plaintext 
  1. if (isset($_COOKIE['user']))
  2. {
  3. $result = mysql_query("SELECT * FROM uzytkownicy WHERE id='".$_COOKIE['user']."' LIMIT 1");
  4. if (mysql_num_rows($result)) {
  5. $userdata = mysql_fetch_assoc($result); 
  6. }
  7. }
  8.  
  9.  
  10. if(isset($_POST['iduzytkownika']) && isset($_POST['haslo']))
  11. {
  12.  
  13. $user_name = $_POST['iduzytkownika'];
  14. $user_pass = $_POST['haslo'];
  15.  
  16. $result = mysql_query("SELECT * FROM uzytkownicy WHERE nick='".$user_name."' AND haslo='".$user_pass."' LIMIT 1");
  17. if (mysql_num_rows($result)) {
  18. $data = mysql_fetch_assoc($result); 
  19. setcookie("user", $data['id'], time() + 3600 * 24 * 30, "/", "", "0");
  20. } else {
  21. echo 'Podane haslo lub login jest nie poprawny';
  22. }
  23. }
  24.  
  25.   if (isset($_COOKIE['user']))
  26.   {
  27.     echo 'Użytkownik zalogowany jako: '.$userdata['nick'].'<br />';
  28.     echo '<a href="wylog.php">Wylogowanie</a><br />';
  29.   }
  30.   else
  31.   {
  32.     // tworzenie formularza logowania
  33.     echo '<form method="post" action="'.basename($_SERVER['PHP_SELF']).'">';
  34.     echo '<table>';
  35.     echo '<tr><td>Identyfikator użytkownika:</td>';
  36.     echo '<td><input type="text" name="iduzytkownika"></td></tr>';
  37.     echo '<tr><td>Hasło:</td>';
  38.     echo '<td><input type="password" name="haslo"></td></tr>';
  39.     echo '<tr><td colspan="2" align="center">';
  40.     echo '<input type="submit" value="Logowanie"></td></tr>';
  41.     echo '</table></form>';
  42.   }
  43.  
[PHP] pobierz, plaintext

Plik odpowiedzialny za wylogowanie
[PHP] pobierz, plaintext 
  1. <?php
  2. header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'");
  3. setcookie("user", "", time() - 3600 * 24 * 30, "/", "", "0");
  4. header("Location: ".str_replace("&", "&", 'logowanie.php'));
  5. ?>
[PHP] pobierz, plaintext


Ten post edytował arzach 15.06.2010, 18:36:45
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
netmare
post
Post #2





Grupa: Zarejestrowani
Postów: 285
Pomógł: 37
Dołączył: 18.12.2007
Skąd: Łódź

Ostrzeżenie: (0%)
-----

Ja mam propozycję żebyś to napisał od nowa z użyciem sesji. Pomijając kwestię problemu z usunięciem ciasteczka z przeglądarki pozostają kwestie bezpieczeńswa.


[PHP] pobierz, plaintext 
  1. $result = mysql_query("SELECT * FROM uzytkownicy WHERE id='".$_COOKIE['user']."' LIMIT 1");
[PHP] pobierz, plaintext

To jest mocno podatne na iniekcję sql, zresztą sprawdzanie loginu i hasła też. Chyba że masz magic_quotes włączone.

Do tego nie potrzeba wcale się logować żeby być zalogowanym. Oznacza to że jeśli rozszerzysz skrypt o rozpoznawanie jakiegoś admina od zwykłych userów to kwestia znalezienia jego id to będą najwyżej pojedyncze minuty.

Proponuję przynajmniej napisać na początku tego pliku i wszystkich innych session_start() i używania $_SESSION zamiast $_COOKIE oraz upewnienie się że jest włączone magic_quotes_gpc. A docelowo radzę poczytać więcej o sesjach i sposobach ataków na nie, a także SQL Injection.
Go to the top of the page
+Quote Post

Posty w temacie
- arzach   [PHP]Problem z wylogowaniem   15.06.2010, 18:23:22
- - mariuszli   Sprawdź [PHP] pobierz, plaintext unset($_COOKI...   15.06.2010, 18:26:09
- - arzach   Dalej to samo już wcześniej unset próbowałem i nic...   15.06.2010, 18:27:28
- - gothye   jeśli już to ciasteczka usuwasz tak : [PHP] pobier...   15.06.2010, 18:31:00
- - arzach   Dalej nic z tego. Nie mam pojęcia, czemu nie chce ...   15.06.2010, 18:33:20
- - gothye   moze zmien paramete securee ( "0" ) na N...   15.06.2010, 18:37:02
- - arzach   Dalej to samo nie da się usnąć.   15.06.2010, 18:39:21
- - netmare   Ja mam propozycję żebyś to napisał od nowa z użyci...   15.06.2010, 20:48:56
- - thek   Netmare... Magic_quotes to złe rozwiązanie. Mi oso...   15.06.2010, 21:33:18
- - netmare   @ thek nie uznaję MQ, starałem się tylko wskazać ...   15.06.2010, 21:45:35
- - erix   Ale w PHP6 MQ nie będzie, więc wywody są potrzebne...   15.06.2010, 21:58:50

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 14:34
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn