[PHP]Rejestracja w krokach za pomocą sesji Opcje

[greenghost]

Witam.
Nie ukrywam, że posługuję się sesjami zaledwie od paru godzin a całym php chyba drugi dzień. Moim celem jest rejestracja w dwóch krokach. W pierwszym pobieramy login oraz hasło, i wysyłamy je do sesji a drugi krok ma odczytać dane z kroku pierwszego, pobrać parę innych zmiennych i utworzyć wpis w bazie danych test w tabeli user. Konfiguracja połączenia bazy danych jak łatwo się domyślić jest zawarta w conn.php. Dodatkowo skrypt sprawdza czy użytkownik jest zalogowany, jeśli tak, to nie wyświetlają mu się okna do tworzenia konta.

[PHP] pobierz, plaintext 
<?php
session_name();
session_start();
require('conn.php');
include("head.php");
if (isset($_SESSION['user_id']) and isset($_SESSION['login']))
{
?>
	<h1>
<?
	echo "Nie możesz utworzyć nowego konta, ponieważ jeste? zalogowany jako: ";
	echo $_SESSION['login'];
?>
	<form action="logout.php" method="post">
	<input type="submit" value="Wyloguj" />
	</form>
	<h1/>
<?
}
else
{
?>
	<h1>
<?
	if (isset($_POST['konto']) and isset($_POST['password']) and isset($_POST['password2']))
	{
		if ($_POST['password']==$_POST['password2'])
  		{
   		$konto =  mysql_real_escape_string (trim($_POST['konto']));      
   		$password = sha1(md5(mysql_real_escape_string (trim($_POST['password'])))); 
   		$ile =mysql_query("SELECT * FROM `user` WHERE login = '$konto'");
   		$ile = mysql_num_rows($ile);
   		if ($ile==0)
			{
   			$zapytanie= ($_SESSION['krok_login']=$konto and $_SESSION['krok_pass']=$password);
			}
   		else
   		{
   			echo("Taki użytkownik już istnieje, kliknij wstecz aby zarejestrować się ponownie.");
   		}
		}
  		else echo ("Podane hasła nie zgadzaj? się!");
	}
	elseif (isset($_SESSION['krok_login']) and isset($_SESSION['krok_pass']))
	{
		if (isset($_POST['imie']) and isset($_POST['plec']) and isset($_POST['wioska']) and isset($_POST['natura']))
		{
			$krok_login = session_name("krok_login");
			$krok_pass = session_name("krok_pass");
			$imie =  mysql_real_escape_string (trim($_POST['imie'])); 
			$plec =  mysql_real_escape_string (trim($_POST['plec'])); 	
			$wioska =  mysql_real_escape_string (trim($_POST['wioska'])); 	
			$natura =  mysql_real_escape_string (trim($_POST['natura'])); 	
			$ile2 =mysql_query("SELECT * FROM `user` WHERE imie = '$imie'");
   		$ile2 = mysql_num_rows($ile2);
   		if ($ile2==0)   
			{
   			$zapytanie2= "INSERT INTO user (login,password,imie,plec,wioska,natura) VALUES('$krok_login','$krok_pass','$imie',$plec','$wioska','$natura')";
   			mysql_query($zapytanie2) or die("Wyst?pił bł?d" );
      		echo('Konto '.$konto.' o loginie '.login.' zostalo pomy?lnie kurwa utworzone!');
				session_unset();
				session_destroy();
			}
   		else
   		{
   			echo("To imię jest w użyciu.");
   		}
		}
		else
		{
?>
		<h1>Dalsza cze?ć rejestracji.</h1>
			<form action="register2.php" method="post">
				<table style="text-align: right; width: 250px;">
					<tr>
						<td>
							Imię:
						</td>
						<td>
							<input name="imie" type="text" value="" />
						</td>			
	  				</tr>
					<tr>
						<td>
							Płeć:
						</td>
						<td>
							<input type="radio" name="plec" value="facet" checked="checked" />Mężczyzna
							<input type="radio" name="plec" value="baba" />Kobieta
						</td>
					</tr>
					<tr>
						<td>
							Wioska:
						</td>
						<td>
								<select name="wioska">
									<option value="konoha">Konoha-Gakure</option>
									<option value="suna">Suna-Gakure</option>
									<option value="kiri">Kiri-Gakure</option>
									<option value="kumo">Kumo-Gakure</option>
									<option value="iwa">Iwa-Gakure</option>
									<option value="oto">Oto-Gakure</option>
								</select>
						</td>
					</tr>
					<tr>
						<td>
							Natura chakry:
						</td>
						<td>
								<select name="natura">
									<option value="wiatr">Wiatr</option>
									<option value="woda">Woda</option>
									<option value="ogien">Ogień</option>
									<option value="ziemia">Ziemia</option>
									<option value="blysk">Błyskawica</option>
				  				</select>
 
						</td>
					</tr>
				</table>
				<table style="text-align: center; width: 250px;">
					<tr>
						<td>
							<input type="submit" value="Zarejestruj" />
						</td>
					<tr>
				</table>
			</form>
<?
		}
		}
	else 
	{
?>
Dodaj nowego użytkownika.</h1>
<form action="register2.php" method="post">
	<table style="text-align: right; width: 250px;">
		<tr>
			<td>
				Nazwa konta:
			</td>
			<td>
				<input name="konto" type="text" value="" />
			</td>			
		</tr>
		<tr>
			<td>
				Hasło:
			</td>
			<td>
				<input name="password" type="password" value="" />
			</td>
		</tr>
		<tr>
			<td>
				Powtórz hasło:
			</td>
			<td>
				<input name="password2" type="password" value="" />
			</td>
		</tr>
	</table>
	<table style="text-align: center; width: 250px;">
		<tr>
			<td>
				<input type="submit" value="Zarejestruj" />
			</td>
		<tr>
	</table>
</form>
 
<?
	}
}
include("foot.php");
?>
 
[PHP] pobierz, plaintext 

Problemy są dwa.
Pierwszym jest to, że po wprowadzeniu "pierwszych" danych (loginu i hasła), strona pozostaje pusta, i muszę ją odświeżyć, aby przejść do drugiego kroku.
Drugim problemem jest to, że po wszystkim, skrypt nie tworzy żadnych wpisów w bazie danych, wyświetla się jedynie napis "Wystąpił błąd". Mniemam, że błąd znajduje się w linijkach 48-49. Proszę o naprawienie skryptu, ewentualnie nakierowanie mnie na dobrą drogę poprzez wskazanie mi funkcji jaką muszę użyć.

Ten post edytował greenghost 19.02.2010, 00:47:44

[Rysh]

Spróbuj tego... mogą być drobne błędy (zabezpieczyć sam sobie musisz).

[PHP] pobierz, plaintext 
<?php
session_start();
if(!isset($_SESSION['id']) {
$_SESSION['id'] = 0; // 0 oznacza niezalogowanego
}
 
if(isset($_POST['zarejestruj'])) {
//musisz sprawdzić czy istnieje uzytkownik o takim loginie jesli nie istnieje przechodzisz dalej
if($_POST['haslo'] == $_POST['hasloo']) {
mysql_query("INSERT INTO `users` (`login` ,`haslo`) VALUES ('". $_POST['login'] ."', '". md5($_POST['haslo'] ."')") or die ("Bład bla bla bla: ". mysql_error());
}
}
 
if(isset($_POST['zaloguj'])) {
$zapytanie = mysq_query("SELECT id FROM users WHERE `login`='". $_POST['login'] ."' AND `haslo`='". md5($_POST['haslo']) ."'") or die ("Bład bla bla bla: ". mysql_error());
while(true == $dane = mysql_fetch_assoc($zapytanie)) {
$_SESSION['id'] = $dane['id'];
}
}
 
if ($_SESSION['id'] == 0) {
//formularz (logowania)
echo "<input type='text' name='login' />\n";
echo "<input type='password' name='haslo' />\n";
echo "<input type='submit' name='zaloguj' value='Zaloguj' />\n";
 
//formularz (rejestracji)
echo "<input type='text' name='login' />\n";
echo "<input type='password' name='haslo' />\n";
echo "<input type='password' name='hasloo' />\n";
echo "<input type='submit' name='zarejestruj' value='Zarejestruj' />\n";
} else {
//strona dla zalogowanego
}
 
?>
[PHP] pobierz, plaintext 

Jeśli chcesz coś dorobić wzoruj się na tym kodzie.
I tak przy okazji, nigdy nie pobieraj hasła do skryptu!

[PHP] pobierz, plaintext 
$ile =mysql_query("SELECT * FROM `user` WHERE login = '$konto'");
[PHP] pobierz, plaintext 

Lepiej zrobić to od razu w mysql... patrz linijka 15 w tym co napisałem.

Edit:

mysql_query($zapytanie2) or die("Wyst?pił bł?d" );
echo('Konto '.$konto.' o loginie '.login.' zostalo pomy?lnie kurwa utworzone!');
session_unset();
session_destroy();

Po co session_unset oraz session_destroy?
Kolejne, w echo masz '. login .' nie powinno być $login? (o pięknym wyrazie na k nie wspominam...).
Co do wysyłania zapytania dopisuj sobie zawsze:

Kod

mysql_query($zapytanie) or die ("Błąd: ". mysql_error());

Łatwiej Ci będzie zlokalizować błąd.

Ten post edytował Rysh 19.02.2010, 01:42:23

[maxil]

tylko uważaj na MySQL Injection

[Rysh]

SQL Infection to podstawa, dlatego zaznaczyłem to w moim poście