Logowanie admina strony Opcje

[aagaaz]

Witam.

Mam problem z logowaniem admina.
W pliku login.php umiescilam kod:

[PHP] pobierz, plaintext 
if ($_POST['login']=='admin'and $_POST['haslo']=='admin')
{
header('Location:admin/panel_admin.php');
}
[PHP] pobierz, plaintext 

ale chcialabym , aby pobieral zaszyfrowane haslo admina, ktore mam w bazie danych.

Może cie mi pomóc...

Powód edycji: [Cysiaczek]: bbcode, pamiętaj w przyszłości

[pyro]

1. Zobacz, czy na początku pliku nie masz jakichś znaków (nawet zwykłej spacji) i jeśli plik jest kodowany w UTF-8, to czy jest kodowany bez nagłówka BOM

2. Nie wiem po co to dałaś:

header('Location: '.$_POST['URI']);

bo:
a.) To i tak nie zadziała, bo wyżej wyświetlasz dane
b.) Jakby działało, to skrypt byłby podatny na Phishing

3. Po co te całe htmlspecialchars na dane jeśli:
a.) hasło i tak jest kodowane md5, więc i tak bazie nie zagrozi
b.) mysql_real_escape_string() wystarczy do zabezpieczenia przed SQL Injection
c.) Jak usuniesz stamtąd htmlspecialchars(), to uzywaj go przy wyświetlaniu danych.

Ten post edytował pyro 5.12.2010, 23:29:18

[Rid]

1. Zobacz, czy na początku pliku nie masz jakichś znaków (nawet zwykłej spacji) i jeśli plik jest kodowany w UTF-8, to czy jest kodowany bez nagłówka BOM

2. Nie wiem po co to dałaś:



bo:
a.) To i tak nie zadziała, bo wyżej wyświetlasz dane
b.) Jakby działało, to skrypt byłby podatny na Phishing

3. Po co te całe htmlspecialchars na dane jeśli:
a.) hasło i tak jest kodowane md5, więc i tak bazie nie zagrozi
b.) mysql_real_escape_string() wystarczy do zabezpieczenia przed SQL Injection
c.) Jak usuniesz stamtąd htmlspecialchars(), to uzywaj go przy wyświetlaniu danych.

1.Funkcja usuwająca spacje -trim ,jeden kłopot mniej
3.Funkcje typu htmlspecialchars,htmlentities - konwertują znaki specjalne na Encje-jak użyjesz polskiej literki to funkcja potraktuje ją jak znak specjalny i zamieni np. "ó" na &auml -jednakże funkcje te chronią przed atakami XSS jak również addslashes i stripsslashes dodające lub ujmujące w określonych przypadkach ukośniki.Chronią one dokument php przed atakami XSS nie SQLInjection-do tego służy właśnie mysql_real_escape_string() która bezpośrednio zabezpiecza bazę danych.Najlepszym sposobem zabezpieczenia pól według mnie jest zastosowanie wyrażeń regularnych poprzez funkcje preg_match ,ja staram się używać całego dostępnego"arsenału" aby zabezpieczyć i dokument i bazę danych.Nic to nie zaszkodzi przecież (IMG:style_emoticons/default/aaevil.gif)

[pyro]

1.Funkcja usuwająca spacje -trim ,jeden kłopot mniej
3.Funkcje typu htmlspecialchars,htmlentities - konwertują znaki specjalne na Encje-jak użyjesz polskiej literki to funkcja potraktuje ją jak znak specjalny i zamieni np. "ó" na &auml -jednakże funkcje te chronią przed atakami XSS jak również addslashes i stripsslashes dodające lub ujmujące w określonych przypadkach ukośniki.Chronią one dokument php przed atakami XSS nie SQLInjection-do tego służy właśnie mysql_real_escape_string() która bezpośrednio zabezpiecza bazę danych.Najlepszym sposobem zabezpieczenia pól według mnie jest zastosowanie wyrażeń regularnych poprzez funkcje preg_match ,ja staram się używać całego dostępnego"arsenału" aby zabezpieczyć i dokument i bazę danych.Nic to nie zaszkodzi przecież (IMG:style_emoticons/default/aaevil.gif)

Bardzo fajnie, że podałeś błędne definicje i błędne założenia, a do tego nie przeczytałeś tego co napisałem, a ponadto podałeś błędne wnioski. Więc powiedz mi, po co to napisałeś (IMG:style_emoticons/default/ph34r.gif) ?

Dałam to po to , żeby logowanie odbywało się na tej stronie na której się znajduję... i to działa...

Dokładnie to samo by się działo, jakbyś usunęła tę linijkę, ale jeśli Cię uszczęśliwia to możesz ją zostawić (IMG:style_emoticons/default/tongue.gif)

Zwróć uwagę na 1 punkt mojego poprzedniego postu (jeśli cokolwiek wyświetlasz przed podaniem header, to nie zostanie wykonany ten header), a ponadto na początku swojego pliku wklej:

[PHP] pobierz, plaintext 
error_reporting(E_ALL);
 
echo ini_get('display_errors') ? '' : 'WLACZ DYREKTYWE DISPLAY_ERRORS';
[PHP] pobierz, plaintext 

I zobacz wynik, szczególnie zwróć uwagę na błędy typu 'headers already sent...'.

Jeśli to nie zadziała, to ściągnij wtyczkę podglądającą nagłówki HTTP, np. Tamper Data i zobacz czy nagłówek Location jest na pewno przesyłany.