[PHP] Skrypt logowania, Gdzie błąd? Opcje

[kaktus283]

Cześć, własnie czytałem poradnik n/t tworzenia systemu logowania.
I próbowałem coś napisać, wyszło coś takiego (poniżej kody).
No ale zawsze mi zwraca, że nie ma takiego użytkownika aczkolwiek jest on w bazie na 100%, gdzie może leżeć błąd?
Ja sobie nie mogę z tym za cholerę poradzić już ...
Mimo późnej, lub wczesnej pory myślę że ktoś się znajdzie co potrafi pomóc : ))

login.php

[HTML] pobierz, plaintext 
<center><h1>Panel Logowania</h1>
<form action="check.php" method="post"> 
    <table> 
	    <tr> 
			<td>Login: </td> 
			<td><input type="text" name="email" id="login" /></td> 
		</tr> 
		<tr> 
			<td>Haslo: </td> 
			<td><input type="password" name="password" id="password" /></td> 
		</tr>
		<tr> 
		    <td colspan="2" align="center">
    			<input type="submit" value="Submit" name="subm_log" align="left" />
    			<input type="reset" value="Clear" align="center" />                						
            </td> 
			</tr> 				
	</table> 
</form> 
</center>
[HTML] pobierz, plaintext 

db.php

[PHP] pobierz, plaintext 
<?php
 
function db_connect() {
 
    $conn = mysql_connect ('localhost', 'root', 'haslo');
 
        if(!$conn)
            {
                echo mysql_error();
                exit;
            }
        if(!$db = mysql_select_db ('db'))
            {
                echo mysql_error();
                exit;
            }
 
         return $conn;
 
}
 
function get_user($userEmail,$userPassword)
{
    db_connect();
    $query = sprintf("
             SELECT * FROM cms WHERE email = '$userEmail' AND password = 'userPassword'");
    $result = mysql_query($query);
    $row = mysql_fetch_assoc($result);   
 
    return $row;
}
 
?>
[PHP] pobierz, plaintext 

check.php

[PHP] pobierz, plaintext 
<?php
session_start();
 
include ("db.php");
 
$row = get_user($_POST['email'], $_POST['password']);
 
if($row)
    {
        $_SESSION['id'] = $row['email'];
        $_SESSION['username'] = $row['name'];
    }
    else
    {
        echo "Nie ma takiego uzytkownika";
    }
?>
[PHP] pobierz, plaintext 

Ten post edytował kaktus283 20.07.2010, 02:37:54

[pedro84]

W zapytaniu powinno być:

[PHP] pobierz, plaintext 
$userPassword
[PHP] pobierz, plaintext 

masz samo userPassword a takiego usera pewnie nie ma (IMG:style_emoticons/default/winksmiley.jpg)

A godzina w sam raz do pracy (IMG:style_emoticons/default/winksmiley.jpg)

Ten post edytował pedro84 20.07.2010, 02:39:34

[Pawel16]

Godzina jest The Beast... ;P Odczep się (IMG:style_emoticons/default/biggrin.gif) .

A skrypt okey. Ale Radziłbym ci go zrobić inaczej. Poczytaj jeszcze trochę i dokładnie zabezpiecz skrypt przed głupimi błędami i kaprysami oraz pomysłami ze strony osób trzecich.

[kaktus283]

Godzina jest The Beast... ;P Odczep się (IMG:style_emoticons/default/biggrin.gif) .

A skrypt okey. Ale Radziłbym ci go zrobić inaczej. Poczytaj jeszcze trochę i dokładnie zabezpiecz skrypt przed głupimi błędami i kaprysami oraz pomysłami ze strony osób trzecich.

Dla mnie oczywiście dobra godzina, skoro siedzę tym bardziej że są wakacje ale dla innych nie wiedziałem (czułem się samotnym no-life'em) ^^
No ale ok, skoro wiem że nie jestem sam to nie ma problemu.
Oczywiście trochę głodny jestem, dlatego pewnie zjadłem jeden znaczek i w ogóle wielkie dzięki za znalezienie.
Co do tego zabezpieczania, to co polecasz przeczytać ?
Filtrowanie zmiennych słyszałem, coś jeszcze?


Ten post edytował kaktus283 20.07.2010, 04:09:49

[piku235]

Do filtrowania danych polecam funkcje np. mysql_real_escape_string lub addshlashes. Oraz polecam do przeczytania tematy o SQL Injection.