Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

Forum PHP.pl _ Przedszkole _ [php] System logowania i sesje

Napisany przez: gosc_mufan 21.07.2006, 11:00:34

Witam mam problem.Dopiero zaczynam zabawe z php a juz musze napisac system logowania oparty mysql. Czy moglby mi ktos pomoc dokladnie chodzi o to z na stronce sa miejsca na login i haslo i po kliknieciu na loguj powino sprawdzac czy taki user jest w bazie danych. Dziekuje za szybka odpowiedz:)

----------------------
Pozwoliłem sobie zmienić nazwę
wątku : )
---
~strife

Napisany przez: Cysiaczek 21.07.2006, 11:08:04

Skoro musisz napisać, to znaczy, że to komercyjna zabawka. Skoro nie znasz php i mysql'a, to jak chcesz to napisać? Chcesz pomocy, czy gotowca? Jak gotowca, to nie ten dział.
1. Stwórz tabelę w bazie danych zawierającą żytkowników
2. Napisz kod, który będzie pamietał uzytkownika (np. w oparciu o mechanizm sesji w php)
3. Przy stronach, które mają być zabezpieczone umieść kod sprawdzający, czy użytkownik, który odwiedz stronę ma do tego prawo. Sprawdzasz, czy osoba przedstawiająca się przez sesję jest umieszczona w bazie danch.

Jeśli nie jesteś w stanie napisać sam, to poszukaj gotowych skryptów, ale bacz na licencje.

Napisany przez: adi2005 21.07.2006, 11:31:34

Jest masa ksiazek na ten temat. Mozna je już kupić za ok 30zeta

Napisany przez: scanner 21.07.2006, 13:45:16

@adi2005: jeszcze jedna taka odpowiedz i zaliczysz warna

A do autoa: Czy COKOLWIEK próbowałeś już zrobić?

Napisany przez: adi2005 21.07.2006, 14:03:45

@scanner: Oki sorki ale jednak chciałbym wiedzieć co napisałem nie tak


---
Autor nie pytał o książki.
Pytał o konkretne zagadnienie. A to że książki są to każdy wie.
Też chcesz żeby Cie odesłać jak o coś zapytasz?
Jednym słowem: post jest zły bo nie na temat i specjalnie nabity.

A takie pytania jak to to też na PW.

~mike_mech


---
Dzięki mike-mech
~scanner

Napisany przez: gosc_mufan 21.07.2006, 15:19:54

Tak probowalem sie bawic z gotowcami ale mi nie szlo. Poza tym bym wolal sam cos napisac. Mam juz gotowa baze w mysql ale nie wiem jak zaczac pisac samo logowanie.

Napisany przez: acztery 21.07.2006, 15:41:03

formularz wysyla dane login i password do naszego skryptu. skrypt liczy uzytkownków w bazie majacych taki login i takie haslo pozniej dajesz if jezeli 1 tzn ze zalogowany dobrzez jezeli 0 to zle . jezeli bedzie dobrze mozeszesz wszystko wpakować do sessji ( imie,login,itp wedle uznania ) Wszystko wysylasz metoda POST z formularza rzecz jasna. nie zapomnij tez o MD5 tzn kodowanie hasła w manuali pisze wiecej

Napisany przez: strife 21.07.2006, 16:04:48

Witam,

Napiszę Ci dość szybko czym jest logowanie w php i jak przebiega, ponieważ temat logowania był wałkowany i jest bardzo długo, więc sam rozumiesz, że pisać n'ty raz to samo robi się z oporem ( przynajmniej mi ). No ale przejdźmy do rzeczy, zakładam, że pewne podstawy z php znasz takie jak tworzenie warunków, pętli, zmiennych. Jeżeli już masz ten zasób wiedzy, to przejdźmy do napisania samego skryptu logowania.

Na początku tworzymy plik o dowolnej nazwie, u mnie będzie się nazywał login.php, ten plik umożliwi stworzenie tzw. zmiennej sesyjnej odpowiadającej za zalogowanie się na stronę. O zmiennach sesyjnych możesz poczytać w manualu w dziale zmienne predefiniowane. Oczywiście, samo tworzenie zmiennej sesyjnej nie wystarczy, jest potrzebny też formularz, który umożliwi nam dowolne logowanie.

Przykładowy formularz może wyglądać w ten sposób:

  1. <http://december.com/html/4/element/form.html method="post" action="login.php">
  2. <http://december.com/html/4/element/input.html type="text" name="login" />
  3. <http://december.com/html/4/element/input.html type="password" name="password" />
  4. <http://december.com/html/4/element/input.html type="submit" value="zaloguj sie" />
  5. </http://december.com/html/4/element/form.html>

Oczywiście ten formularz umieszczamy w naszym pliku, bądź innym wzkazującym na login.php ( action ). Gdy już mamy w takiej postaci nasz plik, przystępujemy do obrobienia go. Tak więc tworzymy warunek, który nam sprawdzi czy dane przesłane w formularzu są prawidłowe.

  1. <?php
  2. // powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
  3. // najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
  4. if ( ! http://www.php.net/empty( $_POST['login'] ) && ! http://www.php.net/empty( $_POST['password'] ) )
  5. {
  6. // jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
  7. if ( $_POST['login'] == 'strife' && $_POST['password'] == 'admin' )
  8. {
  9. // tworzymy zmienna sesyjna
  10. $_SESSION['auth'] = '1';
  11. }
  12. else
  13. {
  14. http://www.php.net/echo 'Podales zly login badz haslo!';
  15. }
  16. }
  17. else
  18. {
  19. http://www.php.net/echo 'Wprowadz dane do formularza :)';
  20. }
  21. ?>

Przy tak skonstruowanym kodzie, i poprawnym wpisaniu danych zostanie dodane zmienna sesyjna o nazwie 'auth'. Zmienne sesyjne są widoczne w każdym miejscu ponieważ ich zasięg jest globalny i tutaj też zapraszam do zapoznania się z manual'em i rozdziałem o zmiennych predefiniowanych.

Następnie posiadając taką zmienną możemy w każdym miejscu sprawdzić, czy użytkownik jest zalogowany, czyli sprawdzamy czy ta zmienna istnieje.

  1. <?php
  2. if ( http://www.php.net/isset( $_SESSION['auth'] ) )
  3. {
  4. http://www.php.net/echo 'Wiadomosc dla zalogowanego uzytkownika';
  5. }
  6. ?>

Wszystko wydaje, się proste, ale kod który napisałem, może nie działać.. Dlaczego? W kodzie, który zaprezentowałem nie ma nigdzie zdefiniowanego startu sesji, więc tworzenie zmiennych sesyjnych i ich sprawdzanie nie ma najmniejszego sensu. Na początku kodu musi być:

  1. <?php
  2. http://www.php.net/session_start();
  3. ?>

Wtedy, możemy dowolnie operować na sesjach. Wszystko pięknie, ale czegoś tu brakuje... a co jeśli będziemy chcieli się wylogować, tutaj z pomocą przychodzi http://pl.php.net/session_destroy, bądź http://pl.php.net/unset, z tą różnicą, że to pierwsze usunie wszystkie zmienne sesyjne, a drugie tylko wybraną:

  1. <?php
  2. http://www.php.net/unset( $_SESSION['auth'] );
  3. ?>

To by było Tyle, jeżeli chodzi o samo logowanie, teraz trochę o mysql. Posłużę się do tego kodem, który już wcześniej napisałem na tym forum:

  1. <?php
  2. $query = http://www.php.net/mysql_query("SELECT * FROM uzytkownicy WHERE `user` = '" . $_POST['user'] . "' ");
  3. $fetch = http://www.php.net/mysql_fetch_array($query);
  4. if ( $fetch ) // jesli user zostanie znaleziony w bazie
  5. {
  6. if ( http://www.php.net/md5( $_POST['pass'] ) == $fetch['haslo'] ) // jesli haslo sie zgadza
  7. {
  8.  http://www.php.net/echo 'logowanie zakonczone sukcesem';
  9. }
  10. else
  11. {
  12.  http://www.php.net/echo 'Przykro mi, ale podane haslo jest bledne';
  13.  }
  14. }
  15. else
  16. {
  17.  http://www.php.net/echo 'Podany uzytkownik nie istnieje w bazie danych';
  18. }
  19.  
  20. ?>

Oczywiście do takiego kodu można się przyczepić o kwestię bezpieczeństwa ( sql injection ), ale żeby nie przyciemniać tego przykładu odwołuję Cię do przyczepionego tematu sql injection na forum -> php. A więc przeanalizujmy powyższy kod, użytkownik wpisuje swój login i hasło, następnie wykonujemy zapytanie, które sprawdza czy dany użytkownik istnieje, jeżeli tak sprawdzamy hasło, i miejscu gdzie pojawia się informacja o poprawnym zalogwaniu, możemy dodać naszą zmienną sesyjną.

Mam nadzieję, że już mniej więcej wiesz o co chodzi z logowaniem. Kod pisałem z palca, więc mogą być małe błędy. W razie pytań czy wątpliwości, pisz na forum. smile.gif

Pozdrawiam!

Napisany przez: robos85 20.03.2007, 21:41:27

Zrobiłem takie pliki:
logowanie.html:

  1. <http://december.com/html/4/element/html.html>
  2. <http://december.com/html/4/element/head.html>
  3. <http://december.com/html/4/element/title.html>Logowanie</http://december.com/html/4/element/title.html>
  4. </http://december.com/html/4/element/head.html>
  5. <http://december.com/html/4/element/body.html>
  6. <http://december.com/html/4/element/form.html method="post" action="sprawdz.php">
  7. Login: <http://december.com/html/4/element/input.html type="text" name="login" />
  8. Hasło: <http://december.com/html/4/element/input.html type="password" name="password" />
  9. <http://december.com/html/4/element/input.html type="submit" value="zaloguj sie" />
  10. </http://december.com/html/4/element/form.html>
  11. </http://december.com/html/4/element/body.html>
  12. </http://december.com/html/4/element/html.html>


sprawdz.php:
  1. <?php
  2.  
  3. http://www.php.net/define('login', 'robert');
  4. http://www.php.net/define('haslo', '123456');
  5.  
  6.  
  7. // powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
  8. // najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
  9. if ( ! http://www.php.net/empty( $_POST['login'] ) && ! http://www.php.net/empty( $_POST['password'] ) )
  10. {
  11. // jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
  12. if ( $_POST['login'] == login && $_POST['password'] == haslo )
  13. {
  14. // tworzymy zmienna sesyjna
  15. $_SESSION['zalogowany'] = '1';
  16. http://www.php.net/print("Zalogowany");
  17. }
  18. else
  19. {
  20. http://www.php.net/echo 'Podales zly login badz haslo!';
  21. }
  22. }
  23. else
  24. {
  25. http://www.php.net/echo 'Wprowadz dane do formularza :)';
  26. }
  27.  
  28.  
  29. ?>


plik.php
  1. <?php
  2. http://www.php.net/session_start();
  3.  
  4. if ( http://www.php.net/isset( $_SESSION['zalogowany'] ) )
  5. {
  6.  
  7. http://www.php.net/echo 'Wiadomosc dla zalogowanego uzytkownika';
  8. }
  9.  
  10. ?>


Wchodząc do pliku plik.php nic mi się nie wyświetla.
Może mi ktoś powiedzieć co tu nie tak zrobiłem?

Napisany przez: kwiateusz 20.03.2007, 21:56:22

bezpośrednio do plik.php? to czego oczekujesz że zmienna w ifie z powietrza sie wyczaruje?

Napisany przez: robos85 20.03.2007, 22:30:44

ok działa oto moje pliki:
logowanie.html pomijam,

sprawdz.php

  1. <?php
  2.  
  3. http://www.php.net/define('login', 'robert');
  4. http://www.php.net/define('haslo', '123456');
  5.  
  6.  
  7. // powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
  8. // najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
  9. if ( ! http://www.php.net/empty( $_POST['login'] ) && ! http://www.php.net/empty( $_POST['password'] ) )
  10. {
  11. // jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
  12. if ( $_POST['login'] == login && $_POST['password'] == haslo )
  13. {
  14. // tworzymy zmienna sesyjna
  15. http://www.php.net/session_start();
  16. $_SESSION['zalogowany'] = '1';
  17. //session_register('zalogowany');
  18. http://www.php.net/print("Zalogowany");
  19. http://www.php.net/print("<a href="plik.php">Klik</a>");
  20. }
  21. else
  22. {
  23. http://www.php.net/echo 'Podales zly login badz haslo!';
  24. }
  25. }
  26. else
  27. {
  28. http://www.php.net/echo 'Wprowadz dane do formularza :)';
  29. }
  30.  
  31.  
  32. ?>


plik.php
  1. <?php
  2. http://www.php.net/session_start();
  3. //session_register('zalogowany');
  4. if ( http://www.php.net/isset( $_SESSION['zalogowany'] ) )
  5. {
  6.  
  7. http://www.php.net/echo 'Wiadomosc dla zalogowanego uzytkownika';
  8. http://www.php.net/print("<a href="wyloguj.php">Klik</a>");
  9. }
  10.  
  11. else
  12. {
  13. http://www.php.net/echo 'zaloguj się';
  14. }
  15. ?>


wyloguj.php
  1. <?php
  2.  
  3. http://www.php.net/session_start();
  4. http://www.php.net/session_destroy();
  5. http://www.php.net/print("wylogowano");
  6.  
  7. ?>


tylko teraz moje pytanie brzmi: jak przerobić plik sprawdz.php aby po udanym zalogowaniu przeiosło mnie do pliku index.html questionmark.gif wiem że trzeba dodać header(...) ale w którym miejscu ?

Napisany przez: kwiateusz 20.03.2007, 22:39:22

np. zamiast

  1. <?php
  2. http://www.php.net/print("Zalogowany");
  3. http://www.php.net/print("<a href="plik.php">Klik</a>");
  4. ?>

Napisany przez: robos85 20.03.2007, 22:44:49

kurde rzeczywiście ;p
Ale to wynik tego że nie śpię 19h ponad i po treningu jestem.

to jeszcze tylko pytanko szybkie:

jeżeli jestem już zalogowany, jak mogę wyświetlić ID sesji??

Póki co to mi do szczęścia potrzeba smile.gif

Napisany przez: kwiateusz 20.03.2007, 22:47:05

wystarczy manula przejrzeć...
http://pl.php.net/session_id

Napisany przez: robos85 20.03.2007, 23:32:15

zrobiłem taki plik:

wybór.html

  1. <http://december.com/html/4/element/html.html>
  2. <http://december.com/html/4/element/head.html>
  3. <http://december.com/html/4/element/title.html>strona startowa</http://december.com/html/4/element/title.html>
  4. </http://december.com/html/4/element/head.html>
  5. <http://december.com/html/4/element/body.html>
  6. <http://december.com/html/4/element/br.html>
  7. <?
  8. session_start();
  9.  
  10. if ( isset( $_SESSION['zalogowany'] ) )
  11. { ?>
  12. <http://december.com/html/4/element/font.html size="6" color="blak" face="times"><http://december.com/html/4/element/center.html><http://december.com/html/4/element/b.html>Wybierz zadanie:</http://december.com/html/4/element/center.html></http://december.com/html/4/element/font.html>
  13. <http://december.com/html/4/element/br.html>
  14. <http://december.com/html/4/element/center.html><http://december.com/html/4/element/table.html height="20%" width="20%" border="1">
  15. <http://december.com/html/4/element/tr.html><http://december.com/html/4/element/td.html align="center">
  16. <http://december.com/html/4/element/a.html href="obliczenia.html"> kalkulator</http://december.com/html/4/element/a.html></http://december.com/html/4/element/td.html></http://december.com/html/4/element/tr.html>
  17. <http://december.com/html/4/element/tr.html><http://december.com/html/4/element/td.html align="center">
  18. <http://december.com/html/4/element/a.html href="zapisz.html"> wysyłanie pliku </http://december.com/html/4/element/a.html></http://december.com/html/4/element/td.html></http://december.com/html/4/element/tr.html></http://december.com/html/4/element/table.html></http://december.com/html/4/element/center.html>
  19. </http://december.com/html/4/element/body.html>
  20. </http://december.com/html/4/element/html.html> <?
  21. }
  22. else
  23. {
  24. header("Location: wybor.html");
  25. }
  26. ?>


Chodzi mi o to, żeby był w .html i po wejściu w niego była sprawdzana sesja.
Lecz jak wchodzę zawsze się pokazuje menu. Pewnie plik jest powalony. Jak to przerobić na działający?
Do czego dążę: otóż jak sprawdzać sesję w plikach o rozsz: .html questionmark.gif ten wybor.html to przykład, który nie wiem jak rozwiązać i liczę na waszą pomoc

Napisany przez: Cienki1980 20.03.2007, 23:38:41

Jeżeli chcesz korzystać z kodu PHP musisz umieszczać go w plikach *.php

Napisany przez: robos85 20.03.2007, 23:43:37

yhm ok będę to robił, bo myślałem że jakoś da radę w *.html zrobić.

Napisany przez: kwiateusz 21.03.2007, 00:51:44

da o ile możesz używać plików htaccess smile.gif poszukaj na google co należałoby wpisać

bo ja akurat nie pamietam smile.gif

Napisany przez: idas 26.03.2007, 00:16:25

Yo!
Mam pytanie: przedstawione tutaj kody do logowania dzialaja ok. W momencie w ktorym uzytkownik sie zaloguje mamy zmienna sesyjna, ktora to informuje ze jest zalogowany. Wyobrazmy sobie ze do zmiennej sesyjnej przypisuje nazwe uzytkownika powiedzmy $login. Teraz mam zmienna sesyjna $_SESSION['login'] = $login; i na jej podstawie sprawdzam czy dany uzytkownik jest zalogowany.
Wyczytalem jeszcze, ze w wypadku uzywania sesji trzeba wklepywac na poczatku dokumentu linijke session_start();
Hmmm...moje pytanie jest takie:
W pliku logowanie.php mam skrypt ktory pobiera mi wpisana z klawiatury nazwe uzytkownika, haslo i sprawdza czy w bazie danych w tabeli UZYTKOWNICY jest w kolumnie login i haslo taka sama wartosc jak ta podana przez uzytkownika. Jesli ja znajdzie to utwozy ta zmienna sesyjna $_SESSION['login']=$login; JAK TA ZMIENNA PRZEKAZYWAC NA KOLEJNE PODSTRONY DO KTORYCH BEDE MIAL ODNOSNIKI? W URL raczej odpada bo to kazdy przeciez zobaczy winksmiley.jpg
Dzieki

Napisany przez: strife 26.03.2007, 00:49:37

Cytat(idas @ 26.03.2007, 01:16:25 ) *
Yo!
Mam pytanie: przedstawione tutaj kody do logowania dzialaja ok. W momencie w ktorym uzytkownik sie zaloguje mamy zmienna sesyjna, ktora to informuje ze jest zalogowany. Ale jak w takim wypadku rozroznic np. uzytkownika Jas od uzytkownika Adam? Bo z tego co widze to w momencie pomyslnego logowania jest tworzona jedna i ta sama zmienna...


Możesz rozróżnić tych użytkowników poprzez nadanie im odpowiednich ról. Czyli w bazie danych tworzysz sobie dwie tabele, w pierwszej masz użytkowników, a w drugiej maski dostępu ( podział na role ). Powiedzmy, że tabela użytkowników zawiera następujące pola

Kod
id | name | password | mask
1     Jaś       md5hash    1
2    Adam    md5hash    2


Natomiast tabela z maskami, będzie wyglądała w ten sposób:

Kod
id | name | has_admin |
1      admin     1
2       user      0


To chyba najprostrzy przykład jaki może być. No i wtedy, w momencie zalogowania dodajesz kolejną zmienną, która będzie odpowiadała za dostęp do panelu administracyjnego. $_SESSION['admin']. W ten sposób możesz rozróżnić użytkowników i przydzielać im odpowiednie role. Poszukaj na forum na ten temat już trochę o tym pisaliśmy.

  1. <?php
  2. $query = http://www.php.net/mysql_query("SELECT * FROM uzytkownicy WHERE `user` = '" . $_POST['user'] . "' ");
  3. $fetch = http://www.php.net/mysql_fetch_array($query);
  4. if ( $fetch ) // jesli user zostanie znaleziony w bazie
  5. {
  6. if ( http://www.php.net/md5( $_POST['pass'] ) == $fetch['haslo'] ) // jesli haslo sie zgadza
  7. {
  8.  http://www.php.net/echo 'logowanie zakonczone sukcesem';
  9.  $_SESSION['login'] = '1';
  10.  // dodawanie ról w momencie poprawnego zalogowania
  11.  $query = http://www.php.net/mysql_fetch_array( http://www.php.net/mysql_query("SELECT * FROM maski_dostepu WHERE id = " . $fetch['mask'] . " ") );
  12.  $_SESSION['has_admin'] = $query['has_admin'];
  13.  /**
  14. * potem sprawdzac czy ktos ma gdzie dostep przykladowo czy Janek moze
  15. * wejsc na strone x sprawdzasz tak 
  16. * if ( ! empty( $_SESSION['has_admin'] ) )
  17. * { 
  18. * echo 'masz dostep';
  19. * }
  20. */
  21. }
  22. else
  23. {
  24.  http://www.php.net/echo 'Przykro mi, ale podane haslo jest bledne';
  25.  }
  26. }
  27. else
  28. {
  29.  http://www.php.net/echo 'Podany uzytkownik nie istnieje w bazie danych';
  30. }
  31. ?>


W prostrzy sposób możesz tych użytkowników rozróżnić, poprzez dodanie pola has_admin w tabeli z użytkownikami, ale takie rozwiązanie jest mało optymalne, bo musisz zmienić tą wartość wtedy u każdego użytkownika, a jak widzisz z podziałem na role zmieniasz to tylko w jednym rekordzie.

uff... mam nadzieję, że teraz już to rozumiesz. Idę spać.

~edit
Cytat
JAK TA ZMIENNA PRZEKAZYWAC NA KOLEJNE PODSTRONY DO KTORYCH BEDE MIAL ODNOSNIKI?


Nie rozumiem, przecież gdy na początku każdej tej strony będziesz podawał session_start to ta zmienna będzie widoczna, więc nie ma sensu loginu inaczej tego przekazywać. Najlepiej będzie jak sam sobie to sprawdzisz.

Pozdrawiam!

Napisany przez: idas 26.03.2007, 15:41:34

Wlasnie sie przekonalem, ze zmienne sesyjne u mnie nie dzialaja:/
Zainstalowalem serwer Apache u siebie na kompie. Jak je wlaczyc?

Napisany przez: strife 26.03.2007, 18:14:10

Cytat(idas @ 26.03.2007, 16:41:34 ) *
Wlasnie sie przekonalem, ze zmienne sesyjne u mnie nie dzialaja:/
Zainstalowalem serwer Apache u siebie na kompie. Jak je wlaczyc?


Nie działają czyli co dokładniej się dzieje? Jakiś błąd ? Przeczytaj http://forum.php.pl/index.php?showtopic=64667&st=0&p=342018&#entry342018, jak tak zrobisz to powiedz czy nadal Ci zmienne sesyjne nie działają.

Pozdrawiam!

Napisany przez: idas 26.03.2007, 20:05:51

Yo!
Jednak sesje dzialaja. Jednak mam pewne pytanie:
Jak przepisac zmienna z tablicy $_SESSION?
Bo np. mam zmienna

  1. <?php
  2. $_SESSION['login_ok'];
  3. ?>
i proba
  1. <?php
  2. $login = $_SESSION['login_ok'];
  3. ?>
nie przynosi pozytywnych rezultatow :/

Napisany przez: strife 26.03.2007, 21:04:46

A jakich rezultatów się spodziewasz, musi działać.

  1. <?php
  2. http://www.php.net/session_start(); // moze zapomniales?
  3. $_SESSION['login'] = 'dupa';
  4. $login = $_SESSION['login'];
  5. http://www.php.net/echo '<pre>';
  6. http://www.php.net/var_export( $login );
  7. http://www.php.net/echo '</pre>';
  8. ?>


Nie działa? Napisz coś więcej, bo:

Cytat
nie przynosi pozytywnych rezultatow :/


Naprawdę mało nam mówi. winksmiley.jpg

Pzdr.

Napisany przez: idas 28.03.2007, 12:27:15

HeHe nie no o session_start(); to pamietalem;)
Juz wszystko dziala poprawnie.
Ale mam takie pytanie: powiedzmy loguje sie uzytkownik na strone z jednego kompa i dostaje unikalny ID sesji. Mam przez to rozumiec, ze jesli z jakiegos innego kompa na strone zaloguje sie inny uzytkownik to on takze dostanie unikalny ID sesji [inny od tego powyzej] i oboje beda mogli przegladac zawartosc strony, tak?
Innymi slowy: wszystko oparte jest o ten identyfikator sesyjny?

Napisany przez: strife 28.03.2007, 16:14:17

Cytat(idas @ 28.03.2007, 13:27:15 ) *
zaloguje sie inny uzytkownik to on takze dostanie unikalny ID sesji [inny od tego powyzej] i oboje beda mogli przegladac zawartosc strony, tak?
Innymi slowy: wszystko oparte jest o ten identyfikator sesyjny?


Tak, a te zmienne sesyjne są przechowywane na serwerze w jakimś tam katalogu ( np. tmp/ ) i usuwane co jakiś czas ( żywotność sesji podana jest w php.ini ). Ale nic nie stoi na przeszkodzie abyś sobie sam napisał obsługę sesji i np. trzymaj zmienne sesyjne w bazie danych.

http://wortal.php.pl/wortal/artykuly/php/architektura/session_handler_czesc_i

Pozdrawiam.

Napisany przez: idas 29.03.2007, 15:13:19

Dzieki, poczytam winksmiley.jpg

A mam jeszcze jedno pytanie:
czy jest sens przesylac w adresie URL np. identyfikator sesji, czy moze wystarczy w samym kodzie strony pobierac zmienna sesyjna?

Pytam, bo na wielu stronach zauwazylem, ze w URL jest wyswietlany ID sesji...

Napisany przez: strife 29.03.2007, 16:18:40

Cytat(idas @ 29.03.2007, 16:13:19 ) *
Dzieki, poczytam winksmiley.jpg

A mam jeszcze jedno pytanie:
czy jest sens przesylac w adresie URL np. identyfikator sesji, czy moze wystarczy w samym kodzie strony pobierac zmienna sesyjna?

Pytam, bo na wielu stronach zauwazylem, ze w URL jest wyswietlany ID sesji...


To zależy od ustawień użytkownika. Zauważ, że gdy wyłączysz ciasteczka to na tym forum będziesz miał identyfikator sesji przesyłany przez URL. Pytasz czy jest sens, zapewne jakiś jest, ale mało kto wyłącza ciasteczka ( patrz ranking.pl ).

Napisany przez: idas 29.03.2007, 22:33:48

Dzieki winksmiley.jpg

Ja zrobilem u siebie logowanie tak:
jesli uzytkownik podal login, ktory znajduje sie zapisany w bazie danych, oraz haslo pasujace do loginu [takze zapisane w bazie danych], to tworze zmienna $_SESSION[ok]=$login; , gdzie $login to nazwa uzytkownika.
Nastepnie na kazdej stronie mam linijke session_start(); i sprawdzam if($_SESSION[ok]). Jesli warunek zwraca true to wyswietlam zabezpieczona tresc strony, w przeciwnym wypadku wyswietlam "jawna" czesc strony. Czy takie zabezpieczenie jest wystarczajace, czy moze jest do bani? winksmiley.jpg

Napisany przez: super_e107 31.12.2007, 14:48:00

Sorki że odkopuje, ale nie ma sensu pisać nowego tematu bo dostałbym link do tego, czy ktoś może podać wszystkie pliki jak mają wyglądać i rejestracja łącze z plikiem *sql ?

Napisany przez: Dex19 26.01.2011, 18:13:05

Witam,
tym razem ja odkopię winksmiley.jpg Jestem (php przedszkolakiem) w trakcie pisania systemu logowania www(php)->mysql. Podpieram się gotowcem http://phpsense.com/php/php-login-script.html.

Zastanawia mnie jedna sprawa.
1) logowanie (u mnie) odbywa się na zasadzie sprawdzenia czy w tabeli 'uzytkownicy' danej bazy jest użytkownik wraz z hasłem podanym na stronie logowania
2) sprawdzenie to odbywa się dzięki połączeniu z bazą przy pomocy loginu i hasła wpisanego w "includowanym" ../../incledes/configu.php
3) po poprawnej weryfikacji z punktu 1 przypisujemy zmienne sesyjne itd

Pytania do powyższego:
1) Czy to oznacza, że mimo iż przypiszemy login (podany w formularzu logowania i znaleziony w tabeli użytkowników) to i tak fizycznie działamy na koncie o którym mowa w pkt. 2?
(ja tak właśnie to rozumiem)
2) Jeśli tak to czy takie rozwiązanie jest bezpieczne? - chodzi mi tu konkretnie o kwestię tego, że wszyscy tak naprawdę działają na jednym koncie fizycznie utworzonym na serwerze mysql, a ich "konta" z tabeli użytkownicy danej bazy są fikcyjnymi z punktu widzenia tegoż serwera.
3) Jeśli tak (pyt nr1) to czy tak to powinno profesjonalnie wyglądać i taka jest praktyka (jeden user + role dla kont tabeli uzytkownicy) czy też każdy użytkownik powinien mieć swoje faktyczne konto na serwerze mysql i poprzez jakiś panel administracyjny powinno się nadawać mu prawa do poszczególnych baz/tabel/kolumn itd.

Proszę mnie poprawić jeśli się myle, ale w/g mnie to chyba lepsze rozwiązanie z jednym użytkownikiem. Sam generuję mu bardzo mocne hasło, nadaję najpotrzebniejsze prawa i nie martwię się tym, że jakiś user z trochę wyższymi uprawnieniami ustawił sobie hasło 'mama' do konta które jest fizycznie utworzonym na serwerze.
Chyba, że moje założenie o niedostępności includowanego pliku jest błędne winksmiley.jpg


pozdrawiam i dziękuję za odpowiedź
Dex19

Na pytanie 1 już chyba już sobie sam odpowiedziałem winksmiley.jpg questionmark.gif?

łącząc się z bazą za pomocą

Kod
(mysql_connect($serwer, $login, $haslo) and mysql_select_db($baza));

wtedy przy użyciu zmiennych sesyjnych i mogę działać na loginie i haśle podanym przez usera winksmiley.jpg

pozostając w temacie bezpieczeństwa - które z poniższych rozwiązań jest właściwe? (o ile wogóle któreś jest winksmiley.jpg )

Opcja pierwsza:
1) aplikacja przewiduje 3 role
2) tworzę 3 userów, którym grantem nadaję w bazie prawa do odpowiedniech operacji na poszczegolnych tabelach/kolumnach itd
3) przy logowaniu do systemu sprawdzam role usera i do bazy już loguję go przy użyciu wcześniej utworzonego w pkt 2 konta-roli

Opcja druga:
1) Każdy user ma fizycznie utworzone konto na serwerze MySql
2) W tabeli uzytkownicy (bazy roboczej, nie serwera) przypisane są role i po stronie kodu, warunkami stworzony system dostępu na podstawie ról

Opcja trzecia:
1) Jedno konto za pomoca którego cały czas łączę się z bazą
2) W tabeli uzytkownicy (bazy roboczej, nie serwera) przypisane są role i po stronie kodu, warunkami stworzony system dostępu na podstawie ról

pozdrawiam


Napisany przez: Noidea 26.01.2011, 18:25:26

Na większości (jak nie wszystkich) hostingach współdzielonych nie możesz tworzyć nowych użytkowników w MySQL, więc stosuje się opcję 3. Potem strona się rozrasta, przechodzi na VPS albo dedyk, ale założenia zostają po staremu.

Opcja druga byłaby pewnie strasznie upierdliwa w zarządzaniu.

Opcja trzecia pierwsza jest ok jeśli masz możliwość jej zastosowania. Utworzenie osobnego użytkownika MySQL dla administratorów strony, osobnego dla operacji na newralgicznych danych (login, hasło, email, itp.) i osobnego dla całej reszty zapytań spowoduje, że nawet jeśli ktoś znajdzie lukę w twoim kodzie "wyświetlania 5 najnowszych komentarzy z bazy", to i tak do niczego ciekawego się nie dokopie.


EDIT
@Dex19 Tak, chodziło mi o opcję pierwszą. Jakoś tak wyszło, że opisuję te opcje od tyłu i się zamotałem.

Napisany przez: Dex19 26.01.2011, 19:10:52

bardzo dziękuję za odpowiedź

Cytat
Opcja trzecia jest ok jeśli masz możliwość jej zastosowania. Utworzenie osobnego użytkownika MySQL dla administratorów strony, osobnego dla operacji na newralgicznych danych (login, hasło, email, itp.) i osobnego dla całej..


zakładam że chodziło tu o opcję pierwsza smile.gif ?

Napisany przez: shaolin33 19.03.2013, 09:44:46

Cytat(robos85 @ 20.03.2007, 22:30:44 ) *
ok działa oto moje pliki:
logowanie.html pomijam,

sprawdz.php
  1. <?php
  2.  
  3. http://www.php.net/define('login', 'robert');
  4. http://www.php.net/define('haslo', '123456');
  5.  
  6.  
  7. // powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
  8. // najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
  9. if ( ! http://www.php.net/empty( $_POST['login'] ) && ! http://www.php.net/empty( $_POST['password'] ) )
  10. {
  11. // jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
  12. if ( $_POST['login'] == login && $_POST['password'] == haslo )
  13. {
  14. // tworzymy zmienna sesyjna
  15. http://www.php.net/session_start();
  16. $_SESSION['zalogowany'] = '1';
  17. //session_register('zalogowany');
  18. http://www.php.net/print("Zalogowany");
  19. http://www.php.net/print("<a href="plik.php">Klik</a>");
  20. }
  21. else
  22. {
  23. http://www.php.net/echo 'Podales zly login badz haslo!';
  24. }
  25. }
  26. else
  27. {
  28. http://www.php.net/echo 'Wprowadz dane do formularza :)';
  29. }
  30.  
  31.  
  32. ?>


plik.php
  1. <?php
  2. http://www.php.net/session_start();
  3. //session_register('zalogowany');
  4. if ( http://www.php.net/isset( $_SESSION['zalogowany'] ) )
  5. {
  6.  
  7. http://www.php.net/echo 'Wiadomosc dla zalogowanego uzytkownika';
  8. http://www.php.net/print("<a href="wyloguj.php">Klik</a>");
  9. }
  10.  
  11. else
  12. {
  13. http://www.php.net/echo 'zaloguj się';
  14. }
  15. ?>


wyloguj.php
  1. <?php
  2.  
  3. http://www.php.net/session_start();
  4. http://www.php.net/session_destroy();
  5. http://www.php.net/print("wylogowano");
  6.  
  7. ?>


tylko teraz moje pytanie brzmi: jak przerobić plik sprawdz.php aby po udanym zalogowaniu przeiosło mnie do pliku index.html questionmark.gif wiem że trzeba dodać header(...) ale w którym miejscu ?



witaj,

podeslesz poprawiony kod sprawdz.php questionmark.gifquestionmark.gif

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)