[PHP] Czy można wysłać COOKIES metodą GET i czy to dobre rozwiązanie? Opcje

[lamcpp]

witam, tworze skrypt panelu administratora dla logowania dla admina (bardzo prosty i chciałbym by był oparty na ciasteczkach niż na sesjach, chyba że nie bedzie innego wyjscia)
Oto wszystkie pliki:
index.php: (jest to głowny plik, który ma tylko wyświetlać login i hasło mozliwe do wpisania)

[PHP] pobierz, plaintext 
<?php
  include('sekcja_naglowka.php');
?>
<body>
  <div id="central">
    <form action='logowanie.php' method='post'>
      Login: <input type='text' name='login' size='20' /><br />
      Hasło: <input type='password' name='haslo' size='20' /><br />
      <input type='submit' name='submit' value='Zaloguj' />
      <input type='hidden' name='submitted' value='TRUE' />
    </form>
  </div>
 
</body>
</html>
[PHP] pobierz, plaintext 

logowanie.php: jest to plik sprawdzający czy login i hasło są takie jak w bazie i jesli tak to tworzy dwa ciasteczka (dla loginu i hasła po jednym):

[PHP] pobierz, plaintext 
<?php
  ob_start();
  include('sekcja_naglowka.php');
  if(isset($_POST['submitted']))
  {
    if(!empty($_POST['login']))
    {
      $login = mysqli_real_escape_string($dbc,trim($_POST['login']));
    }
    else
    {
      $login = FALSE;
    }
    if(!empty($_POST['haslo']))
    {
      $haslo = mysqli_real_escape_string($dbc,trim($_POST['haslo']));
    }
    else
    {
      $haslo = FALSE;
    }
    if($login && $haslo)
    {
      $resultat = mysqli_query($dbc,"SELECT login,haslo FROM user WHERE login='$login' AND haslo=SHA1('$haslo')");
      if(mysqli_num_rows($resultat) == 1)
      {
        $wyn = mysqli_fetch_array($resultat);
        setcookie('login',$wyn['login']);
        setcookie('haslo',$wyn['haslo']);
        $url = absolute_url('glowny.php');
        header("Location: $url");
        exit();
      }
      else
      {
        echo "<div class='biel'>Wprowadziłeś niepoprawne dane</div>";
      }
    }
    else
    {
      echo '<div class="biel">Wprowadziłeś niepoprawny login bądź hasło.<br />Spróbuj ponownie.</div>';
    }
  }
ob_end_flush();
?>
 
[PHP] pobierz, plaintext 

oraz glowny.php, czyli głowny plik, w którym admin będzie mogł zarzadzac serwisem, który bedzie otwierany gdy zostaną utworzone dwa ciasteczka:

[PHP] pobierz, plaintext 
<?php
 
  include('sekcja_naglowka.php');
 if(!isset($_COOKIE['login']))
  {
    $url = absolute_url('index.php');
    header("Location: $url");
    exit();
  }
?>
<body>
  <div id="naglowek">
    <p class="panel">Panel administratora</p>
  </div>
  <div id="logowanie">
    <?php echo "Witaj, {$_COOKIE['login']}"; ?>
  </div>
 
  <div id="lewa">
 
<div class="sidebarmenu">
<ul id="sidebarmenu1">
<?php echo $_COOKIE['login']; ?>
  <li><a href="index.php?name=zdjecia">Dodaj zdjęcia</a></li>
  <li><a href="index.php?name=usun">Usuń zdjęcia</a></li>
  <li><a href="index.php?name=zmien">Zmień wyświetlanie</a></li>
</ul>
</div>
 
  </div>
 
  <div id="prawa" class="prawa">  
    <?php
 
      if($_GET['name'] == 'usun')
      {
        include('usun_zdjecia.php');
      }
      else if($_GET['name'] == 'zdjecia')
      {
        include('preup.php');
      }
      else if($_GET['name'] == 'zmien')
      {
        include('zmien_wyswiet.php');
      }
 
      }
      ?>
  </div>
 
  <div id="stopka">
  </div>
</body>
</html>
 
[PHP] pobierz, plaintext 

Skrypt działa do pewnego momentu dobrze, tzn w przypadku złego hasla nie pojawia się glowny.php w przypadku dobrego pojawia sie i wyswietla na gorze, witaj, imie
To działa dobrze. Natomiast problem jestw tym trzecim pliku z linkami w menu, które jak widac przesyłane są metogą GET. ponieważ po kliknięciu na takiego linka pojawia mi się znowu strona index.php zebym wprowadził login i haslo, a jak to zrobie to znowu to samo i tak sie zapętla..podsumowując zadnego z linka nie mozna otworzyć. Wydaje mi się, że dzieje się tak dlatego ponieważ ciasteczek nie ma w tych plikach dołączonych do linków czyli: 'usun_zdjecia.php, preup.php oraz zmien_wysw.php. Wydaje mi się że trzeba by jakoś w tych plikach wstawić te ciasteczka, żeby poprostu nie pytało o login i hasło. Myslałem o wysłaniu ich metodą GET, razem z linkiem, ale pytanie czy to dobre myslenie, czy tak się praktykuje? a jeśli nie to jak to zrobić by pliki w tych linkach otwierały sie normalnie bez zadnego potwierdzania loginu i hasła (wkoncu jesli jestem juz jako admin to niepowinienem musiec znowu sprawdzac loginu i hasła)

Ten post edytował lamcpp 8.12.2009, 19:36:57

[r4xz]

logowanie nigdy nie może być oparte na ciasteczkach (ze względów bezpieczeństwa), musisz przekształcić na sesje. 

[lamcpp]

ok problem rozwiązany, zamieniłem na sesje.
Problemem było to, że wszystkie linki po zmianie strony na glowny.php dalej odnosiły się do index.php, i dlatego cały czas pojawiał się monit o login i haslo.