Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [skrypt]Prosty skrypt logowania
m3tt
post
Post #1





Grupa: Zarejestrowani
Postów: 14
Pomógł: 0
Dołączył: 6.01.2011

Ostrzeżenie: (0%)
-----

Skrypcik pisany na szybko, powiedzcie co poprawić ew co dodać, żeby kod był bezpieczny.
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start(); 
  3.  
  4. require_once('.config/db_connect.php');
  5.  
  6. //Łączę się z bazą 
  7. Polacz("baza_danych");
  8.  
  9.  
  10. $login =  mysql_escape_string($_POST['login']); 
  11. $haslo = md5($_POST['haslo']);
  12.  
  13. //Przechowywujemy login w sesji
  14. $_SESSION['login'] = $login;
  15.  
  16.  
  17. if(!isset($_SESSION['zalogowany']))
  18. {
  19. 	session_regenerate_id(TRUE);   
  20. 	$_SESSION['zalogowany'] = 0;
  21.  
  22. }
  23. //Jeżeli zalogowany 
  24. if ($_SESSION["zalogowany"] = $_SESSION['id'])
  25. {
  26. header('Location: ./admin_panel.php');
  27. echo " Zalogowany jako: ".$_SESSION['login']. '<a href="?wyloguj">Wyloguj</a>';
  28.  
  29. if(isset($_GET['wyloguj']))
  30. {
  31. header('Location: ./index.php');
  32. $_SESSION["zalogowany"] = 0; 
  33. session_destroy();
  34. }
  35.  
  36. }else{
  37. //Jezeli niezalogowany
  38.  
  39.  
  40.  
  41. echo '<div class="logowanie">';
  42. echo '<center><font color="red">'.$komunikat.'</font></center>';
  43. echo '<form method="post">
  44. 				<div class="logowanie_text">Login:&nbsp; <input type="text" class="logowanie_style" name="login"/></div>
  45.  
  46.                               <div class="logowanie_text">Hasło&nbsp;<input type="password" class="logowanie_style" name="haslo"/></div>
  47. 				<br/> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
  48.  
  49. 				<input type="submit" class="logowanie_style" value="Zaloguj się :)"/></form>';
  50.  
  51. echo '</div>';
  52.  
  53.  
  54. 	//Sprawdź czy wysłano dane
  55. 	if($_SERVER['REQUEST_METHOD'] == 'POST')
  56. 	{
  57. 	//Zapytanie do bazy
  58. 	$sql = mysql_query("SELECT * FROM Users WHERE login='$login' and password='$haslo'");
  59. 	$sql2 = mysql_query("SELECT * FROM Users WHERE login='$login'");	
  60. 	while($row = mysql_fetch_assoc($sql2))
  61. 	{
  62. 		$_SESSION['ranga'] = $row['ranga']; 
  63. 		$_SESSION['id'] = $row['id'];
  64. 		$_SESSION['last_login'] = $row['last_login'];
  65. 	}
  66. 	if(mysql_num_rows($sql))
  67. 	{				
  68. 		$_SESSION['zalogowany'] = mysql_num_rows($sql);
  69. 		header('Location: ./admin_panel.php');
  70. 	}else{
  71. 		echo '<script>alert("Złe dane")</script>';
  72. 	}		
  73.  
  74. } 
  75. }
  76. ob_end_flush();
  77. ?> 
[PHP] pobierz, plaintext


Ten post edytował m3tt 6.01.2011, 17:20:08
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Fifi209
post
Post #2





Grupa: Zarejestrowani
Postów: 4 655
Pomógł: 556
Dołączył: 17.03.2009
Skąd: Katowice

Ostrzeżenie: (0%)
-----

Jeżeli nie chcesz używać np. PDO tylko funkcji mysql_ to czytaj ich dokumentację.
mysql_escape_string ja wyczytałem coś takiego:
Cytat
This function has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.


Zamiast tego użyj: mysql_real_escape_string

Co do loginu i traktowania go poprzez w/w funkcję, polecałbym bardziej przefiltrować np.
filter_var ew. zainteresować się wyrażeniami regularnymi PCRE, preg_match

To: 
[PHP] pobierz, plaintext 
  1. if ($_SESSION["zalogowany"] = $_SESSION['id'])
[PHP] pobierz, plaintext


Zapomniałeś chyba o drugim znaku równości.

Chciałbym również dowiedzieć się jak to ma działać:
[PHP] pobierz, plaintext 
  1. header('Location: ./admin_panel.php');
  2. echo " Zalogowany jako: ".$_SESSION['login']. '<a href="?wyloguj">Wyloguj</a>';
[PHP] pobierz, plaintext

Przecież wynik "echo" nikt nie zobaczy.

Oczywiście z tymi przekierowaniami to jeden przykład a wiele błędów takich masz.

Poza tym, po co lecą dwa zapytania do bazy? Wystarczy jedno.

Go to the top of the page
+Quote Post

Posty w temacie
- m3tt   [skrypt]Prosty skrypt logowania   6.01.2011, 16:52:59
- - MateuszS   Z tego co wiem to na takich skryptach ćwiczą począ...   6.01.2011, 18:23:16
|- - m3tt   Cytat(MateuszS @ 6.01.2011, 18:23:16 ...   8.02.2011, 15:37:23
- - r4xz   //Jeżeli zalogowany if ($_SESSION["zalo...   6.01.2011, 21:59:49
- - webdice   Cytat(m3tt @ 6.01.2011, 16:52:59 ) Sk...   6.01.2011, 22:56:01
- - m3tt   No własnie podejrzewałem, że będzie zabugowany. A ...   10.01.2011, 13:51:30
- - emajl22   Przede wszystkim naucz się pisać przejrzyściej kod...   10.01.2011, 14:03:06
- - ciekawskiii   [PHP] pobierz, plaintext mysql_escape_string[PHP] ...   10.01.2011, 16:30:34
- - darko   Przynajmniej użyj PDO i uporządkuj kod.   8.02.2011, 17:28:00
- - fifi209   Jeżeli nie chcesz używać np. PDO tylko funkcji mys...   11.02.2011, 00:21:24
- - m3tt   Okej, dzieki wielkie. Tak jak pisałem wczesniej, s...   26.02.2011, 12:47:32
- - user767   to mój skrypt do logowania ze strony nospora, nie ...   14.07.2011, 11:45:59

« Następny starszy · Oceny · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 6.10.2025 - 15:41
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn