[PHP/MySQL] Prosty panel logowania Opcje

[sleedz]

Witam.
Stworzyłem prosty panel logowania. Może komuś się przyda. Piszcie co w nim można zmienić...

index.php

[PHP] pobierz, plaintext 
<?php
 
    session_start();
    
    include "config.php";
    
    if (isset($_SESSION['user_id'])) {
        echo "zalogowałeś się jako <b>".$user_name."</b><br />";
        echo "E-mail: ".$user_email."<br>
                Data dołączenia: ".$user_date."<br>";
        echo "<a href=\"logout.php\">[LOGOUT]</a>";
    }
    else {
        
        echo "<form method=\"GET\" action=\"login.php\">
                <input type=\"text\" name=\"login\"><br>
                <input type=\"password\" name=\"pass\"><br>
                <input type=\"submit\" name=\"log\" value=\"Login\">
              </form>";
            
    }
            
?>
[PHP] pobierz, plaintext 

config.php

[PHP] pobierz, plaintext 
<?php
 
    session_start();
 
    $db_host = "localhost";
    $db_user = "root";
    $db_pass = "root";
    $db_base = "baza";
    
    $db = mysql_connect($db_host, $db_user, $db_pass);
    mysql_select_db($db_base, $db);
    
    if (isset($_SESSION['user_id'])) {
        $user_id     = $_SESSION['user_id'];
        $user_name   = $_SESSION['user_name'];
        $user_email  = $_SESSION['user_email'];
        $user_rights = $_SESSION['user_rights'];
        $user_date   = $_SESSION['user_date'];
    }
 
?>
[PHP] pobierz, plaintext 

login.php

[PHP] pobierz, plaintext 
<?php
 
    session_start();
    
    include "config.php";
 
    $user_login = $_GET['login'];
    $user_pass  = $_GET['pass'];
    
    $sql = "SELECT * FROM user WHERE user_name = '".$user_login."' AND user_pass = '".$user_pass."';";
    $result = mysql_query($sql)
        or die("Podałeś błędny login lub hasło");
        
    $rows = mysql_num_rows($result);
    
    if ($rows == 1) {
        
        $r = mysql_fetch_assoc($result);
        session_register("user_id");
        session_register("user_name");
        session_register("user_email");
        session_register("user_rights");
        session_register("user_date");
        
        $_SESSION['user_id']     = $r['user_id'];
        $_SESSION['user_name']   = $r['user_name'];
        $_SESSION['user_email']  = $r['user_email'];
        $_SESSION['user_rights'] = $r['user_rights'];
        $_SESSION['user_date']   = $r['user_date'];
        
        header("Location: index.php");
    }
    else {
        echo "Podałeś błędny login lub hasło... <br> <a href=\"index.php\">Powrót</a>";
    }
 
?>
[PHP] pobierz, plaintext 

logout.php

[PHP] pobierz, plaintext 
<?php
 
    session_start();
    session_destroy();
    
    header("Location: index.php");
 
?>
[PHP] pobierz, plaintext 

No i oczywiście trzeba stworzyć odpowiednią tabelę w bazie:

[SQL] pobierz, plaintext 
CREATE TABLE `user` (
  `user_id` int(30) NOT NULL AUTO_INCREMENT,
  `user_name` varchar(50) collate latin2_bin DEFAULT NULL,
  `user_pass` varchar(50) collate latin2_bin DEFAULT NULL,
  `user_email` varchar(50) collate latin2_bin DEFAULT NULL,
  `user_date` date DEFAULT NULL,
  PRIMARY KEY  (`user_id`)
);
[SQL] pobierz, plaintext 

[erix]

echo "<form method=\"GET\" action=\"login.php\">

Via GET? :| A jak ktoś Ci się gapi przez ramię na pasek adresu przeglądarki, to co wtedy?

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT * FROM user WHERE user_name = '".$user_login."' AND user_pass = '".
?>
[PHP] pobierz, plaintext 

Podatne na SQL Injection.

Taka dygresja:

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['user_id'])) {
       $user_id     = $_SESSION['user_id'];
       $user_name   = $_SESSION['user_name'];
       $user_email  = $_SESSION['user_email'];
       $user_rights = $_SESSION['user_rights'];
       $user_date   = $_SESSION['user_date'];
   }
?>
[PHP] pobierz, plaintext 

Po co powielać parę razy to samo?

[sleedz]

Oj sorki. Zapomniałem zmienić z GET na POST...
A co do powielania: Żeby było przejrzystsze

[erix]

Tak też może być przejrzyście. Albo chociaż rób referencje. Wiem, że się czepiam pierdół, ale zapytałeś, co można zmienić, to odpowiadam. Ale skoro nie używasz obiektów, to nie rób sobie takich aliasów, bo potem się nie połapiesz.

[pyro]

takie dwie dygresje:
1. w polu login mozna podac nick_admina'/* i juz jestesmy zalogowani jako admin
2. wywal w config.php session_start() bo prawdopodobnie wywoła on notice'a o podwójnym starcie sesji.

// edit

kolejna rzecz:

[PHP] pobierz, plaintext 
<?php
session_register("user_id");
       session_register("user_name");
       session_register("user_email");
       session_register("user_rights");
       session_register("user_date");
?>
[PHP] pobierz, plaintext 

Ten post edytował pyro 3.12.2008, 23:03:20

[harleyzbro]

witajcie,
ten kod jest jak dla mnie czymś idealnym. Rozwiązaniem moich problemów przy osobistej witrynie. Mam jednak problem. Pobrałem kody, dodałem baze i wchodze na stronę. Formularz logowania ukazał się...ale ja nie wiem jak dodać login i hasło. Jestem początkujący. Proszę pomóżcie. Zwracam się głownie do kolegi pyro i erix. Wierzę że potraficie mi pomóc. Pozdrawiam

[erix]

Użyj np. phpMyAdmina i dodaj sobie odpowiedni rekord do tabeli...

[harleyzbro]

Powiem tak dodaje rekordy:
user_name: Funkcja USER wartość 123
user_pass: Funkcja PASSWORD wartość kkk

Na stronie wyświetla sie : podałeś zły login lub hasło. Szukałem po googlach i nic. Może ktoś to wytłumaczyć łopatologicznie??

[erix]

Jaka funkcja? :|

Jakiego zapytania używasz w celu dodania nowego usera?

[harleyzbro]

Ja chce żeby było tak że tylko ja jako admin moge sie logować. Skopiowałem poniższy kod i to tyle. Dodałem baze i tyle.

[KomputeromaniaK]

A rejestracja?

[harleyzbro]

hmm...racja.Jestem początkujący...macie może jakiś kodzik, który da się zaadoptować.Bede wdzieczny.

[debian]

Via GET? :| A jak ktoś Ci się gapi przez ramię na pasek adresu przeglądarki, to co wtedy?


Podatne na SQL Injection.

Taka dygresja:

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['user_id'])) {
       $user_id     = $_SESSION['user_id'];
       $user_name   = $_SESSION['user_name'];
       $user_email  = $_SESSION['user_email'];
       $user_rights = $_SESSION['user_rights'];
       $user_date   = $_SESSION['user_date'];
   }
?>
[PHP] pobierz, plaintext 

Po co powielać parę razy to samo?

A jaką masz propozycję erix żeby to nie było podatne na sql injection?

[vaverix]

Mam pytanie...

Znam sie troche na jezyku HTML ale na PHP nie wiec mozecie mi powiedziec jak dodac nowych uzytkownikow/userow ?

Bo jak normalnie zainstalowalem skrypta to wiadomo ze bedzie napisane "nieprawidlowy login lub haslo" bo nie ma zadnego w bazie, wiec jak go dodac ?

W myAdmin dodalem rekord z moimi danymi a i tak nie dziala///

Ten post edytował vaverix 14.02.2009, 22:59:40

[Otto]

Temat trochę stary ale skoro ja go znalazłem szukając panelu logowania to i inni mogą znaleść

Zrobiłem rejestracje do tego panelu logowania

Kilka plików jest do edycji:

index.php

[PHP] pobierz, plaintext 
<?php
 
    session_start();
 
    include "config.php";
 
    if (isset($_SESSION['user_id'])) {
        echo "zalogowałeś się jako <b>".$user_name."</b><br />";
        echo "E-mail: ".$user_email."<br>
                Data dołączenia: ".$user_date."<br>";
        echo "<a href=\"logout.php\">[LOGOUT]</a>";
    }
    else {
 
				if(isset($_GET['wykonano'])) {
				echo "Konto zostało utworzone! Możesz teraz sie zalogować.";
				}
        echo "<form method=\"POST\" action=\"login.php\">
                <input type=\"text\" name=\"login\"><br>
                <input type=\"password\" name=\"pass\"><br>
                <input type=\"submit\" name=\"log\" value=\"Login\">
              </form>";
				echo "<a href=\"register.php\">Rejestracja</a>";
 
    }
 
?>
[PHP] pobierz, plaintext 

register.php

[PHP] pobierz, plaintext 
<?php
if(isset($error)) {
$ul =<<<EOD
<ul>
$error
</ul>
EOD;
echo $ul;
}
?>
<form method="post" action="trans.php">
<table>
<tr>
<td width="100px">Nick</td>
<td>
<input type="text" name="name">
</td>
</tr>
<tr>
<td>Hasło</td>
<td>
<input type="password" name="pass1">
</td>
</tr>
<tr>
<td>Powtórz hasło</td>
<td>
<input type="password" name="pass2">
</td>
</tr>
<tr>
<td>Adres email</td>
<td>
<input type="text" name="mail">
</td>
</tr>
<tr>
<td colspan="2" align="center">
<input type="submit" name="submit" value="Rejestruj">
</td>
</tr>
</table>
</form>
[PHP] pobierz, plaintext 

trans.php

[PHP] pobierz, plaintext 
<?php
require("config.php");
 
 
 
$name = strtolower($_POST['name']);
$pass1 = $_POST['pass1'];
$pass2 = $_POST['pass2'];
$mail = strtolower($_POST['mail']);
$date = date('Y-m-d');
$error = "";
 
 
if (empty($name)) {
$error .= "<li>Podaj nick</li>";
}
if (empty($pass1)) {
$error .= "<li>Podaj hasło</li>";
}
if (empty($pass2)) {
$error .= "<li>Powtórz hasło</li>";
}
if (empty($mail)) {
$error .= "<li>Podaj adres e-mail</li>";
}
 
$sql = "SELECT user_id FROM user WHERE user_name = '" . $name . "'";
$result = mysql_query($sql) or die(mysql_error());
$msr = mysql_num_rows($result);
 
if($msr > 0) {
$error .= "<li>Taki użytkownik już istnieje</li>";
}
 
$sql = "SELECT user_id FROM user WHERE user_email = '" . $mail . "'";
$result = mysql_query($sql) or die(mysql_error());
$msr = mysql_num_rows($result);
 
if($msr > 0) {
$error .= "<li>Jakiś użytkownik już wykorzystał ten adres e-mail</li>";
}
 
if(!empty($error)){
header("location:register.php?error=$error");
}
 
 
if ($pass2 != $pass1) {
$error .= "<li>Podane hasła różnią się!</li>";
header("location:register.php?error=$error");
}
 
if (empty($error)) {
$pass = md5($pass1);
$sql = "INSERT INTO user (user_name, user_pass, user_email, user_date)
				VALUES ('$name', '$pass', '$mail', '$date')";
$result = mysql_query($sql) or die(mysql_error());
header("location:index.php?wykonano=yes");
}
 
 
?>
[PHP] pobierz, plaintext 

login.php

[PHP] pobierz, plaintext 
<?php
 
    session_start();
 
    include "config.php";
 
    $user_login = $_POST['login'];
    $user_pass  = md5($_POST['pass']);
 
    $sql = "SELECT * FROM user WHERE user_name = '".$user_login."' AND user_pass = '".$user_pass."';";
    $result = mysql_query($sql)
        or die("Podałeś błędny login lub hasło");
 
    $rows = mysql_num_rows($result);
 
    if ($rows == 1) {
 
        $r = mysql_fetch_assoc($result);
        session_register("user_id");
        session_register("user_name");
        session_register("user_email");
        session_register("user_rights");
        session_register("user_date");
 
        $_SESSION['user_id']     = $r['user_id'];
        $_SESSION['user_name']   = $r['user_name'];
        $_SESSION['user_email']  = $r['user_email'];
        $_SESSION['user_rights'] = $r['user_rights'];
        $_SESSION['user_date']   = $r['user_date'];
 
        header("Location: index.php");
    }
    else {
        echo "Podałeś błędny login lub hasło... <br> <a href=\"index.php\">Powrót</a>";
    }
 
?>
[PHP] pobierz, plaintext 

Ten post edytował Otto 17.04.2010, 14:14:08

[Potar]

Dorobiłem sobie kilka tabeli podczas rejestracji także wszystko już mam tylko potrzebuje małego skryptu.
1.Przy logowaniu chcę żeby sprawdzał tabele user_bans czy jest 0 czy 1 jak 0 to się zaloguje a jak 1 to nie.
2.Chciałbym jeszcze wiedzieć nt czytania że gdy przeczyta w tabeli np. 0 to pokaże "<p>FREE</p>" a jeżeli 1 to "<p>PREMIUM</p>"
3.Również przydał by mi się skrypt zmiany tzn. w panelu po zalogowaniu aby była możliwość zmiany loginu [zmień] to wszystko.
Dopiero zaczynam ale już wygląda moja strona nieco obiecująco.

Dziękuję i Pozdrawiam

Ten post edytował Potar 6.05.2010, 18:24:15

[haahh]

Wrzuć chociaż mysql_real_escape_string() do tych danych z pobranych przez POST.

1. Wydaje mi się, że najlepiej pobrać jego ID mając jego LOGIN (jak rozumiem, te rzeczy są unikalne). Następnie przeszukać tabele user_bans (która zawierałaby użytkowników zbanowanych) i patrzeć, czy tam jest. Jeżeli nie (nie zwróci) to logować, a jeżeli tak to przerwać.
2. Praktycznie to samo co powyżej (chyba, że coś źle zrozumiałem).
3. Początek praktycznie taki sam jak przy rejestracji tylko używasz zapytania mysql typu:

[SQL] pobierz, plaintext 
"UPDATE users SET login='$login' WHERE user_id=$id LIMIT 1"
[SQL] pobierz, plaintext 

Jeżeli chodzi o formularz zmian to najpierw coś w stylu:

[PHP] pobierz, plaintext 
$q = "SELECT login, cotamjeszczemasz FROM users WHERE user_id=$id";
$r = @mysqli_query($dbc, $q);
 
if(mysqli_num_rows($r) == 1) {
$row = mysqli_fetch_array($r, MYSQLI_NUM);
 
echo '<input type="text" name="login" value="' . $row[0] . '">'
}
[PHP] pobierz, plaintext 

No i trzepiesz kolejne $row[0] itd, albo możesz zrobić MYSQLI_ASSOC i lecieć po nazwach.

[Norbit_24]

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT * FROM user WHERE user_name = '".$user_login."' AND user_pass = '".
?>
[PHP] pobierz, plaintext 

Podatne na SQL Injection.

Co zrobic aby nie było poddatne na sql injection...?

[krzysztof_kf]

mysql_real_escape_string() między innymi dodajesz przed połączeniem do bazy danych tzw

[PHP] pobierz, plaintext 
 $name = mysql_real_escape_string($name); 
[PHP] pobierz, plaintext 

Zapraszam do lektury bo inaczej będziesz się pytał czym się różni POST od GET


EDIT dokładnie po if daj takie coś

[PHP] pobierz, plaintext 
 
 else {
$name = mysql_real_escape_string($imie);
$pass1 = mysql_real_escape_string($pass1);
$pass2 = mysql_real_escape_string($pass2);
$mail = mysql_real_escape_string($mail);
$date = mysql_real_escape_string($date);
$error = mysql_real_escape_string($error);
}
[PHP] pobierz, plaintext 

Ten post edytował krzysztof_kf 18.06.2010, 11:41:12

[darko]

Co zrobic aby nie było poddatne na sql injection...?

Użyć PDO