[PHP]sesje na podstronach Opcje

[gosienkami]

mam takie pytanko przy blokowaniem dostepu do podstron, bo mimo iz jest hasło stronka mie si enie wyswietla

logowanie do podstron:

[PHP] pobierz, plaintext 
<?
session_register("logowanie");
if ($_SESSION['logowanie']!==0)
var_dump($_SESSION);
{ echo "Brak dostępu do ogladania strony.";
exit();}
?>
[PHP] pobierz, plaintext 

<?
include("logowaniepodstron.php");
?>

i wywołanie
array(3) { ["logowanie"]=> int(1) ["login"]=> string(2) "test" ["haslo"]=> string(2) "test" } Brak dostępu do ogladania strony.

[ddiceman]

o rety... moze dlatego, ze

Kod

["logowanie"]=> int(1)

a masz sprawdzanie, czy $_SESSION['logowanie'] jest ROZNE OD 0 i jesli TAK to wyswietl blad logowania?
Popraw

Kod

if ($_SESSION['logowanie']!==0)

na

Kod

if ($_SESSION['logowanie']!==1)

[nospor]

[PHP] pobierz, plaintext 
<?php
session_register("logowanie");
var_dump($_SESSION);
if ($_SESSION['logowanie']!==0)
{ echo "Brak dostępu do ogladania strony.";
exit();}
?>
[PHP] pobierz, plaintext 

Dalas var_dump w ifie a wiec blok pod tym wykonywal sie niezaleznie od ifa. Przerzucilem ci var_dump wyzej
Na przyszlosc zwracaj uwage na takie pierduly

[gosienkami]

zmieniałam jak mowiłes i tak samo.Tak mam na stronie głownej i działa a na podstronach nie chce zeby sie otwierało okno do logowania tylko napis ze brak dostepu.

[PHP] pobierz, plaintext 
<?
ob_start();
session_start();
session_register("logowanie");
if ($_SESSION['logowanie']!==0){
     echo 'Zostaleś zalogowany jako:' .$_SESSION['login'];
     echo '<a href="logowanie.php?wylogowanie=tak">[wylogowanie]</a>';   
   }else { 
 header('location:logowanie.php'); 
    }
 //session_destroy();
 ob_flush();?>
[PHP] pobierz, plaintext 

o rety... moze dlatego, ze

Kod

["logowanie"]=> int(1)

a masz sprawdzanie, czy $_SESSION['logowanie'] jest ROZNE OD 0 i jesli TAK to wyswietl blad logowania?
Popraw

Kod

if ($_SESSION['logowanie']!==0)

na

Kod

if ($_SESSION['logowanie']!==1)

[ddiceman]

Wywal z podstron

[PHP] pobierz, plaintext 
<?php
session_register("logowanie");
?>
[PHP] pobierz, plaintext 

Bo to powinno byc (o ile juz musi byc, bo powinnas uzywac $_SESSION['logowanie']=...) tylko przy logowaniu

[gosienkami]

wywalone i jeszcze jak sie otwieram podstrone bezposrednio to mam tak strona + array(3) { ["logowanie"]=> int(0) ["login"]=> string(2) "ss" ["haslo"]=> string(2) "ss" } mimo wylogowania trzyma ostatnie hasło i login jak dałam na str głownej session_destroy(); to poodswiezeniu stronki blokuje wyswietlanie

[ddiceman]

Za http://pl.php.net/manual/pl/function.session-destroy.php" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
// Usuń wszystkie zmienne sesyjne
$_SESSION = array();
 
// [...]
 
// Na koniec zniszcz sesję
session_destroy();
?>
[PHP] pobierz, plaintext 

Ten post edytował ddiceman 11.03.2009, 13:45:34

[gosienkami]

(IMG:http://forum.php.pl/style_emoticons/default/sad.gif) a na tych podstronach dalej tak samo

[Pilsener]

Prosiłbym o kod logowania + kod podstrony - CAŁY, bo błędów tu jest bez liku i tak sobie będziemy pisać cały dzień.

[gosienkami]

strona logowanie z oknem logowania

[PHP] pobierz, plaintext 
<?
ob_start();
session_register("logowanie");
if(empty($_SESSION["logowanie"]))$_SESSION["logowanie"]=0;
 
echo '<div class="stopka">NIE MASZ UPRAWNIEN DO OGLADANIA STRONY- MUSISZ SIE ZALOGOWAC';
require_once("laczenie.php");
if($_GET['wylogowanie']=="tak"){
$_SESSION["logowanie"]=0;
echo ' Zostałeś wylogowany z serwisu';}
if($_SESSION["logowanie"]!=1){
 }
if($_POST['login']!="" and $_POST['haslo']!="")
{
 $login=$_POST['login'];
 $haslo=$_POST['haslo'];
 $sql="SELECT * from pracownicy WHERE login like '$login' and haslo like '$haslo' ";
 $result=mysql_query($sql) or die('Nie mozna wykonac zapytania');
 $ilosc=mysql_num_rows($result);
 if($ilosc=="1"){
 $zawartosc=$login;
     $_SESSION['logowanie'] = 1;
           $_SESSION['login'] = $_POST['login'];
           $_SESSION['haslo'] = $_POST['haslo'];
     header("Location: panelik.php");
 }
 }
 ob_flush();
 ?>
[PHP] pobierz, plaintext 

logowanie na stronie głownej

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start();
if ($_SESSION['logowanie']!==0){
     echo 'Zostaleś zalogowany jako:' .$_SESSION['login'];
     echo '<a href="logowanie.php?wylogowanie=tak">[wylogowanie]</a>'; 
 
   }else { 
 header('location:logowanie.php'); 
    }
 ob_flush();
?>
[PHP] pobierz, plaintext 

logowanie na podstonach

[PHP] pobierz, plaintext 
<?
session_start();
var_dump($_SESSION);
if ($_SESSION['logowanie']!==0)
{ echo "Brak dostępu do ogladania strony.";
exit();}
?>
[PHP] pobierz, plaintext 

[Pilsener]

1. Na stronie logowania nie widzę session_start
2. Hasła nie trzyma się w sesji, chyba, że zależy nam na tym, aby użytkownicy stracili zaufanie do naszego serwisu
3. Po co w zapytaniu LIKE?
4. Nie filtrujesz danych odbieranych z formularza
5. Nie filtrujesz danych wysyłanych do bazy - 5 minut i ktoś wyjmie wszystkie hasła
6. Ustawiasz logowanie=1, a potem sprawdzasz, czy jest różne od 0 by zalogować - sprawdza się, czy klucz pasuje do zamka a nie odwrotnie:

[PHP] pobierz, plaintext 
<?php
if($_SESSION['logowanie']==1){echo 'pasuje';}else{die('nie pasuje');}
?>
[PHP] pobierz, plaintext 

- i chcesz sprawdzać tylko wartość, czy też i typ zmiennej? W Twoim przypadku 1 jako liczba to nie to samo co 1 jako tekst
7. Obsługa błędów jest włączona? Wywala jakieś błędy?

Edit:
8. Trzymasz hasła w postaci otwartego tekstu, użyj choćby md5

Ten post edytował Pilsener 11.03.2009, 15:05:36

[gosienkami]

juz poprawiłam bład był tu
[color="#007700"]<?

[PHP] pobierz, plaintext 
<?php
if ([/color]$_SESSION['logowanie']==0) ?>
[PHP] pobierz, plaintext 

porawiłam troche do.. co chodzi z tym??

4. Nie filtrujesz danych odbieranych z formularza
5. Nie filtrujesz danych wysyłanych do bazy - 5 minut i ktoś wyjmie wszystkie hasła
8. Trzymasz hasła w postaci otwartego tekstu, użyj choćby md5

[piotrooo89]

4. http://pl.php.net/manual/pl/function.strip-tags.php
5. http://pl.php.net/manual/pl/function.mysql...cape-string.php
8. http://pl.php.net/manual/pl/function.md5.php i http://dev.mysql.com/doc/refman/5.1/en/enc...ml#function_md5

http://www.beldzio.com/kategoria/bezpieczenstwo