[PHP] Strona Logowania - Forum PHP.pl

[PHP] Strona Logowania, ...po mojemu...

ze4lot Zobacz profil	22.10.2007, 20:12:11 Post #1
Grupa: Zarejestrowani Postów: 54 Pomógł: 1 Dołączył: 29.03.2007 Skąd: Kraków Ostrzeżenie: (0%)	Witam. Jestem raczkującym przedszkolakiem w PHP i dzisiejszego wieczoru spłodziłem mały ekran logowania. Byłbym bardzo wdzięczny za znalezienie jego wad dot. funkcjonalności i bezpieczenstwa oraz bardzo szczegółowe objaśnienie ich. Oto mój kodzik: [PHP] pobierz, plaintext <?php session_start(); ob_start(); $body = "<head> <meta http-equiv=\"Content-type\" content=\"text/html; charset=iso-8859-2\"> <meta http-equiv=\"Reply-to\" content=\"xxx\"> <meta http-equiv=\"Content-Language\" content=\"pl\"> <meta name=\"Author\" content=\"xxx\"> <link rel=\"Stylesheet\" type=\"text/css\" href=\"style.css\"> <title>xxx</title> </head> <br><br><br> <center>"; if (isset($_POST["user"]) && isset($_POST["pass"]) && $_GET['do'] === "yes") { $user=trim($_POST['user']); $pass=md5(trim($_POST['pass'])); $db = @mysql_connect("xxx", "xxx", "xxx") or die(mysql_error()); @mysql_select_db("xxx"); $login_info = mysql_query("SELECT * FROM user_list WHERE user = '$user'") or die(mysql_error()); if (mysql_num_rows($login_info) != 1) { header("Refresh: 2; url=login.php"); echo $body."<br><b> Nie ma takiego użytkownika!<br> ...Przeładowywanie formularza...</b>"; exit; } else { $login_info = mysql_fetch_array($login_info); unset($_POST['user']); unset($_POST['pass']); $new_sid = md5($_SERVER['REMOTE_ADDR']."".date(YmdHis)); if (($login_info['user'] == $user && $login_info['pass'] == $pass) \|\| !$_COOKIE['sid'] \|\| $_COOKIE['user']) { setcookie ("sid", $new_sid,time()+86400); setcookie ("user", $user,time()+86400); $_SESSION['sid'] = $new_sid; $log_update = mysql_query("UPDATE user_list SET sid = '".$new_sid."', ip = '".$_SERVER['REMOTE_ADDR']."' WHERE user = '".$user."'") or die(mysql_error()); header("Refresh: 2; url=admin.php"); echo $body."<br><b> Logowanie użytkownika <u>".$user."</u><br> ...Ładowanie panelu...</b>"; exit; } } } else if (isset($_COOKIE['sid']) \|\| isset($_SESSION['sid']) \|\| isset($_COOKIE['user'])) { session_unset(); session_destroy(); header("Refresh: 2; url=login.php"); if (isset($_COOKIE['user'])) { echo $body."<br> <b>Czekaj, trwa czyszczenie niezakończonej sesji użytkownika <u>".$_COOKIE['user']."</u>...</b>"; } else { echo $body."<br> <b>...Czekaj, trwa przygotowywanie formularza...</b>"; } setcookie ("user", "unknow",time()+(10.01)); setcookie ("sid", "unknow",time()+(10.01)); exit; } echo $body." <form action=\"login.php?do=yes\" method=\"POST\"> <table> <tr> <td><b>Użytkownik:</b></td> <td><input type=\"text\" name=\"user\"></td> </tr> <tr> <td><b>Hasło:</b></td> <td><input type=\"password\" name=\"pass\"></td> </tr> <tr> <td colspan=\"2\"><center> <input type=\"submit\" value=\"loguj\"> </center></td> </tr> </table> </center> </form>"; ?> [PHP] pobierz, plaintext Ten post edytował ze4lot 22.10.2007, 20:22:10