[PHP]logowanie problem Opcje

[ArturEales]

Witam mam problem ze skryptem logowania. Problem polega na tym że po poprawnym zalogowaniu chciałbym pobrać nazwę użytkownika i przypisać do zmiennej np $user próbowałem tak:

[PHP] pobierz, plaintext 
<?php
//plik konfiguracyjny
//Logowanie do Bazy Danych
$connection = @mysql_connect('0', '0', '0'); 
$db = @mysql_select_db('0', $connection);
 
 
$intTimeoutSeconds = 1800;
 
session_start();
if(isset($_SESSION['intLastRefreshTime']))
{
    if(($_SESSION['intLastRefreshTime']+$intTimeoutSeconds)<time())
    {
        session_destroy();
        session_start();
    }
}
$_SESSION['intLastRefreshTime'] = time();
 
if(isset($_POST['logowanie'])) {
 
	$dane = @mysql_query('SELECT login, haslo FROM user WHERE login = "'.$_POST['login'].'" AND haslo = "'.$_POST['haslo'].'"') or die(mysql_error());
 
	if(mysql_num_rows($dane) == 1) {
		$_SESSION['logowanie'] = 'poprawne';
               $user = $_POST['login'];                                  //TUTAJ !!!!
	} else {
		$_SESSION['logowanie'] = 'Błędny login lub hasło!';
	}
 
	unset($_POST['logowanie']);
}
 
if(isset($_POST['wylogowanie'])) {
 
	unset($_SESSION['logowanie']);
	unset($_POST['wylogowanie']);
}
 
 
function wyloguj() 
{
if($_SESSION['logowanie'] == 'poprawne') 
{
$string  = '
<style type="text/css" media="screen">
input.submit {
background:url(images/p01.gif) no-repeat #000000;
border:none;
width: 100px;
height: 25px;
color:#FFFFFF;
font-size:14px;
font-weight:700;
font-family:cursive;
}
 
input.submit:hover {
background:url(images/p02.gif) no-repeat #804040;
border:none;
width: 100px;
height: 25px;
color:#FFFFFF;
font-size:14px;
font-weight:700;
font-family:cursive;
}
</style>';
 
 
	   $string .= '<form action="'.getenv(REQUEST_URI).'" method="post">';
     $string .= ' <table>';
     $string .= '      <tr>';
     $string .= '        <td>';
     $string .= '               <input type="submit" name="wylogowanie" value="Wyloguj" class="submit" />';
     $string .= '         </td>';
     $string .= '       </tr>';
     $string .= '    </table>';
     $string .= '</form>';
} 
	return $string;	
}
 
function logowanie()
{
 
if($_SESSION['logowanie'] != 'poprawne') 
{
$string = '<form action="'.getenv(REQUEST_URI).'" method="post">';
$string .= '    <ul style="list-style-type: none;  margin: 0; padding: 0;">';
 
if(isset($_SESSION['logowanie'])) $string .= '<li>'.$_SESSION['logowanie'].'</li>';
$string .= '<style type="text/css" media="screen">
body {
  background-color: #90EE90;
  font-size: 12px;
  font-family: Verdana, Arial, Helvetica, SunSans-Regular, Sans-Serif;
  color:#564b47;  
  padding:0px;
  margin:0px;
}
#content { 	
  position:absolute;
  height:200px; 
  width:400px;
  margin:-100px 0px 0px -200px;
  top: 50%; 
  left: 50%;
  text-align: left;
  padding: 1px;
  background-color: #FFEBCD;
  overflow: auto;
}
p, h1 {
margin: 0px; 
padding: 10px; 
}
h1 {
font-size: 18px;
color: #FFFAF0;
background-color: #216254;
}
h2 {
font-family: sans-serif;
margin: 0px; 
padding: 3px; 
font-size: 17px;
color: #404040;
}
</style>';
$string .= '<div id="content">';
$string .= '        <li><center><h1>Logowanie do systemu</h1></center></li>';    
$string .= '        <li><center><h2>Login</h2></center><center><input type="text" name="login"/></center></li>';
$string .= '        <li><center><h2>Hasło</h2></center><center><input type="password" name="haslo"/></center></li>';
$string .= '        <li><center><input type="submit" name="logowanie" value="Logowanie"/></center></li>';
$string .= '    </ul>';
$string .= '</form>';
$string .= '</div>';     
}    
    return $string;    
}
?>
[PHP] pobierz, plaintext 

no i oczywiście nie działa :/

Ten post edytował ArturEales 24.06.2010, 09:21:24

[Mlodycompany]

ale co nie działa? możesz jakoś sprecyzować? jak na mój gust to zmienna $user pozostaje w funkcji. Żeby z niej korzystać to musisz ją z tej funkcji wydobyć.

[ArturEales]

Jest tak mam sobie plik user.php i chciałem wyświetlić tam nazwę użytkownika ale nie wiem jak ja pobrać ze skryptu powyżej kombinowałem i nic nie wykombinowałem....

[zend]

Pomijając kwesie, że Twój skrypt jest podatny na ataki, to usuń @ z kodu

[milw0rm]

Dodaj na samej górze kodu:

[PHP] pobierz, plaintext 
error_reporting(E_ALL); 
ini_set('display_errors','1');
[PHP] pobierz, plaintext 

i wstaw nam co zwraca strona ... i przeczytaj sobie jak zabezpieczyć się przed php injection

Ten post edytował milw0rm 24.06.2010, 11:08:19

[zend]

przeczytaj sobie jak zabezpieczyć się przed php injection

Gdzie Ty tu widzisz php injection? Nie chodzi Ci raczej o sql injection?

[ArturEales]

Wstawiłem ten kod na samom górę ale stronka nic nie zwróciła.

[zend]

Przeczytałeś wogóle wszystkie odpowiedzi? $connection = @mysql_connect('0', '0', '0'); >>>> $connection = mysql_connect('0', '0', '0');

[haahh]

Chwile, chwile.. jak się nazywa plik z tym kodem logowania? Jeżeli user.php i powyższy kod to oddzielne pliki to, żeby w user.php to musisz użyć superglobalnych $_SESSION tam przechować sobie nazwę użytkownika, albo jego id i wyszukać w bazie jego nazwę. Nie możesz sobie na jednej stronie dać $user = 'kowalski' a w drugim kodzie wywołać echo $user;.

@zapis nazwę użytkownika w $_SESSION['nazwa_uzytkownika']

Ten post edytował haahh 24.06.2010, 13:34:23

[ArturEales]

ok ok ok tylko pytanie nie brzmiało jak zabezpieczyć ten skrypt bo tym się zajmę potem najpierw chciałbym żeby działał tak jak che tz zwracał mi w postaci zmiennej nazwę usera...

PLIK USER.php

[PHP] pobierz, plaintext 
<?php
session_start();
 
include_once('config/config.php');
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" lang="en-US" xml:lang="en">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
    <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
    <title>User</title>
</head>
<body>       
            <img src="config/avatar/avatar1.jpeg" border="1" width="52" height="52"><br />
            <font size="1.5" face="comic sans ms">Twój IP:<br /><?echo ''.$_SERVER['REMOTE_ADDR'].'';?></font>
            <br />
            <font size="1.5" face="comic sans ms">Nick:<br /><?echo "$user";?></font><br />
            <?php
              echo wyloguj();
            ?> 
            <br />
 
</body>
</html>
 
[PHP] pobierz, plaintext 

ok spokojnie specjalistą od zabezpieczeń nie jestem staram się proszę o porady i ewentualne linki do informacji na temat zabezpieczeń i proszę o pomoc z przesłaniem tego id "bezpiecznie" milewidziany fragment kodu


PS:
Dziękuje za dotychczasową pomoc

Błagam haahh pisz nowe posty...

Ten post edytował ArturEales 24.06.2010, 13:29:06

[haahh]

Najprościej:

[PHP] pobierz, plaintext 
if(mysql_num_rows($dane) == 1) {
 
$_SESSION['logowanie'] = 'poprawne';
 
$_SESSION['user'] = $_POST['login'];
 
}
 
 
// a w pliku user.php
 
session_start();
 
echo $_SESSION['user'];
 
[PHP] pobierz, plaintext 

Z id:

[PHP] pobierz, plaintext 
$dane = @mysql_query('SELECT login, haslo, user_id FROM user WHERE login = "'.$_POST['login'].'" AND haslo = "'.$_POST['haslo'].'"') or die(mysql_error());
 
if(mysql_num_rows($dane) == 1) {
 
$row = mysql_fetch_array($dane, MYSQL_ASSOC);	
 
$_SESSION['logowanie'] = 'poprawne';
$_SESSION['user_id'] = $row['user_id'];
 
 
} else {
 
$_SESSION['logowanie'] = 'Błędny login lub hasło!';
 
}
 
 
// a w pliku user.php
 
session_start();
 
$id = $_SESSION['user_id'];
$dane = mysql_query("SELECT login FROM user WHERE user_id='$id' LIMIT 1") or die(mysql_error());
$row = mysql_fetch_array($dane, MYSQL_ASSOC);	
 
echo $row['login'];
 
[PHP] pobierz, plaintext 

Do filtrowania danych używaj funkcji mysql_real_escape_string, trim. Poza tym poszukaj na forum tematów o zabezpieczaniu hasła, hashowaniu.

Ten post edytował haahh 24.06.2010, 18:53:46

[ArturEales]

Niby działa ale nie wyświetla nicku hmm... niewiem gdzie jest błąd...

Ten post edytował ArturEales 24.06.2010, 18:53:16

[haahh]

Coś wydaje mi się, że coś źle z MySQL ( w sensie, że nie z kodem). Google aż sypie rozwiązaniami na ten błąd. Tak czy inaczej możesz pokazać kod, jeżeli sądzisz, że coś w nim 'zwaliło' połączenie.

Ja tam popełniłem błąd i napisałem MYSQLI_ASSOC zamiast MYSQL_ASSOC - cały czas mam z tym problem bo się przyzwyczaiłem do mysqli, może to jest problem.

Ten post edytował haahh 24.06.2010, 18:56:14

[ArturEales]

A propos błędu moja wina ... wkleiłem twój kod przed ...

[PHP] pobierz, plaintext 
include_once('config/config.php');
[PHP] pobierz, plaintext 

a powinienem po ... ale teraz jest problem ponieważ ?echo $row['login'];?> nic nie zwraca :/

Działa Dzięki miałeś racje drugi błąd to MYSQLI_ASSOC

Nie chcąc zakładać nowego tematu napisze dalej w tym... chciałbym zmienić sposób wylogowywania ale mam problem... a więc tak: Obecnie gdy kliknę Wyloguj przycisk znika i po odświeżeniu strony zostaje wylogowany... ja chciałbym żebym został wylogowany zaraz po kliknięciu wylogowany proszę o pomoc... dodam że przycisk wyloguj jest wyświetlany w ramce pobranej z pliku user.php