Błąd gdzieś w tym, skrypcie, Logowanie z zabezpieczeniami (gdzie jest błąd?) Opcje

[M05]

Witam. Nie mogę znaleźć błędu w tym kodzie... Przebrnąłem już przez kilka poprawek ale stanąłem w martwym punkcie.
Po podaniu nazwy uzytkownika i hasla ciagle wyskakuje komunikat ze podaje zle dane choć podaję dobre. Może ktoś widzi ten błąd?

Pliki jakie wchodzą w grę:



wyloguj.php
index.php





wyloguj.php :

[PHP] pobierz, plaintext 
<? php
	session_start();
	session_destroy();
	header ('Location: index.php');
?>
[PHP] pobierz, plaintext 

index.php

[PHP] pobierz, plaintext 
 
<?php
		// core
	ob_start();
	session_start();
 
	$ref = @$_SERVER['HTTP_REFERER'];//powrot
	$plik = $_SERVER['SCRIPT_NAME'];//plik
 
	function zalogowany(){
		if (isset($_SESSION['uzyt'])&&!empty($_SESSION['uzyt'])){
			return true;
			}else{
			return false;
			}
	}
 
 
	// polaczenie
	$host = 'localhost';
	$user = 'root';
	$pass= '';
 
	$bd = 'tutorial';
 
	$pol = @mysql_connect($host, $user, $pass);
	$w_bd = @mysql_select_db($bd);
 
	if (!$pol || !$w_bd){
		die('Przepraszamy nie mozna polaczyc sie z baza danych, sproboj pozniej.');
		}
?>
<html>
		<head>
			<title>Rejestracja</title>
		</head>
		<body>
			<?php
 
			  if(!zalogowany()){
 
 
	// forma.php
	if(isset($_POST['uzytkownik'])&&
	    isset($_POST['haslo'])){
			$uzy =  $_POST['uzytkownik'];
			$has = $_POST['haslo'];
			$hah = sha1($has); // encrypted
				if (!empty($uzy)&&
				     !empty($has)){
					$q = sprintf( "SELECT  *  FROM  `uzytkownicy`  WHERE `uzytkownik` = '".mysql_real_escape_string($uzy)."'  AND `haslo` = ' ".mysql_real_escape_string($hah)." ' ");
 
							if($wQ = mysql_query($q))
							{
							$wQr = mysql_num_rows($wQ);
								if($wQr == 0){
 
 
 
 
								$wynik = mysql_query("SELECT * FROM uzytkownicy")
								or die('Błąd zapytania'); 
 
								if(mysql_num_rows($wynik) > 0) {
								/* jeżeli wynik jest pozytywny, to wyświetlamy dane */
								echo "<table cellpadding=\"2\" border=1>";
								while($r = mysql_fetch_assoc($wynik)) {
 
 
 
									echo "<tr>";
									echo "<td>".$r['uzytkownik']."</td>";
									echo "<td>".$r['haslo']."</td>";
									echo "<td>
								   <a href=\"index.php?a=del&amp;id={$r['id']}\">DEL</a>
								   <a href=\"index.php?a=edit&amp;id={$r['id']}\">EDIT</a>
								   </td>";
									echo "</tr>";
								}
								echo "</table>";
							} 
 
 
 
 
 
 
 
									echo 'Zla nazwa uzytkownika lub haslo';
								 }else if($wQr ==1){
									$uzyt = mysql_result($wQ, 0, 'id');
									$_SESSION['uzyt']=$uzyt;
									header('Location: '.$ref);
								}
						}	
					}else{
				echo'Musisz wypelnic wszystkie pola';
			}
        }		
 
?>
<form action="<?php echo $plik; ?>" method="POST">
Uzytkownik: <input type="text" name="uzytkownik"/>
Haslo: <input type="password" name="haslo"/>
<input type="submit" value="Zaloguj się"/>
</form>
 
	<?php
 
				} else{
				  echo 'jestes zalogowany! <a href="wyloguj.php">wyloguj</a>';
				}
			?>
			<br/><br/>
			<a href="rejestracja.php">rejestracja</a><br/>
			<a href="index.php">strona domowa</a><br/>
		</body>
</html>
 
[PHP] pobierz, plaintext 

Baza danych;

baza: tutorial
tabela: uzytkownicy

kolumny; id, uzytkownik, haslo, email

haslo ma kodowanie w bazie: sha1


Ma ktoś pomysł?

[Michael2318]

[PHP] pobierz, plaintext 
' ".mysql_real_escape_string($hah)." '
[PHP] pobierz, plaintext 

Jak na moje to po pierwsze mysql_real_escape_string do wywalenia, na cholere skoro tam będzie tylko hash.
Po drugie tam masz spacje przed i po. Tak zapisz:

[PHP] pobierz, plaintext 
'".$hah."'
[PHP] pobierz, plaintext 

[M05]

Ok działa. Tak jak mówiłeś hasło ktore wklepywałem
zamiast hasło="hasło" było haslo="_haslo_"
Po wywaleniu spacji działa, nie wywaliłem mysql_real_escape_string wole by tak pozostało narazie.

Dzięki wielki + dla Ciebie.

Ten post edytował M05 20.03.2013, 21:16:01

[Fifi209]

Po wywaleniu spacji działa, nie wywaliłem mysql_real_escape_string wole by tak pozostało narazie.

Ale dobrze gada! Wywal to! Bo jeszcze się tak nauczysz Skoro masz hash, to nie ważne co użyszkodnik tam wpisze, czyż nie?