[MySQL][PHP]Skrypt logowania Opcje

[Kaarpiik]

Witam prezentuje mój skrypt logowania:

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
include('funkcje/funkcje_strona.php');
include('funkcje/funkcje_baza.php');
?>
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2">
<link rel="stylesheet" href="/style.css " type="text/css">
</head>
 
 
<?php
if($_GET['login'] == 'check'){
 
$user_login = $_POST["user_login"];
$user_password = $_POST["user_password"];
 
if($user_login == "" || $user_password == "") {
func_wiadomosc('Błąd!', 'Nie wpisałeś loginu lub hasła!', '4', 'index.php');
exit();
}
 
else {
db_connect();
$query = "SELECT * FROM users WHERE user_login = '$user_login' AND user_password = '$user_password'";
$result = mysql_query($query);
$row = mysql_fetch_array($result);
if($row['user_login'] !== $user_login && $row['user_password'] !== $user_password) {
func_wiadomosc('Błąd!', 'Podane dane się nie zgadzają.', '4', 'index.php');
exit();
}
else {
$_SESSION['sesja'] = 'istnieje';
$_SESSION['user_id'] = $row['user_id'];
$_SESSION['user_login'] = $row['user_login'];
$_SESSION['user_email'] = $row['user_email'];
$_SESSION['user_name'] = $row['user_name'];
$_SESSION['user_city'] = $row['user_city'];
$_SESSION['user_gg'] = $row['user_gg'];
$_SESSION['user_lastlogin'] = $row['user_lastlogin'];
$_SESSION['user_joindate'] = $row['user_joindate'];
$_SESSION['user_position'] = $row['user_position'];
 
func_wiadomosc('Witamy '.$_SESSION['user_login'].'!', 'Poprawnie zalogowano.', '4', 'index.php');
}
}
}
 
if($_GET['login'] == 'wyloguj') {
session_destroy();
if($_SESSION['sesja'] != 'istnieje'){
func_wiadomosc('Żegnaj '.$_SESSION['user_login'].'!', 'Poprawnie wylogowano!', '4', 'index.php');
}
}
?>
[PHP] pobierz, plaintext 

Jest jedno ale. Skrypt ten działa z opóźnieniem tzn gdy próbuje się logować skrypt wykonuje wszystko poprawnie. Wyskakuje mi okienko poprawnie zalogowano i przenosi mnie po 4 sekundach do index.php, jednak ukazuje mi się nadal formularz logowania, gdy odświeże stronę wszystko jest ok zalogowało. Tak samo jest przy wylogowywaniu: klikam wyloguj, wyskakuje okienko wylogowało ale tak naprawdę nie wylogowało i z powrotem przenosi mnie do wylogowywania. Gdy spróbuje następnym razem wszystko jest ok. Tak jakby usuwało zmienne sesji po czasie i przy logowaniu tak jakby tworzyło zmienne sesji z małym opóźnieniem. Czym może to być spowodowane?

[Ramzaa]

zacznijmy może od tego, że nie warto tworzyć tylu sesji, bo można stworzyć sesję "user_login", po czym funkcje do wyciągania danych użytkownika z bazy mysql. Jedno proste zapytanko i masz wszystkie informacje o danym użytkowniku. A tworzysz do najzwyczajniej w świecie: mysql_fetch_assoc(mysql_query("SELECT * FROM `uzytkownicy` WHERE `login` = '".$_SESSION['user_login']."' i zobacz jaki masz porządek od razu w kodzie. Następną rzeczą jest warunek sprawdzający sesję użytkownika czy jest zalogowany, czy nie. Nie rozumiem po co używasz if($_SESSION['sesja'] != 'istnieje'){, skoro możesz wcześniej zarejestrować sesję "zalogowany=true" i później sprawdzać warunek tak: if ($_SESSION['zalogowany'] {. Nie brzmi lepiej i przejrzyściej? Poza tym radzę poczytać o atakach sql_injection i xss, bo Twój skrypt jest bardzo na to podatny.

i proponuję poczytać jeszcze o funkcji isset, która prawdopodobnie rozwiąże Twój problem.

pozdrawiam

Ten post edytował Ramzaa 24.08.2010, 20:22:23

[Kaarpiik]

Dzięki za przydatne podpowiedzi. Może i racja z tymi zmiennymi, usunę niepotrzebne ale parę się przyda do szybkiego identyfikowania np user_lastlogin i user_position

Są jeszcze jakieś pomysły dlaczego ten konkretny skrypt nie działa? Wiem że może nie jest bezpieczny ale logować poprawnie powinien

[Asmox]

Kurde też miałem kiedyś taki numer, ale pamiętam to jak przez mgłę. Póki co prowizorycznie daj funkcję na przeładowanie strony, aż nie pojawi się jakiś stary wyjadacz Który wszystko wytłumaczy

[Kaarpiik]

Sam do tego doszedłem czytając trochę o sesjach. Przy wylogowywaniu sprawdzam czy zmienna sesji 'sesja' ma wartość istnieje. Oczywiście że ma bo session_destroy(); nie usuwa zmiennych sesji. Trzeba użyć komendy unset.

@edit:

[PHP] pobierz, plaintext 
<?php
session_start();
ob_start();
include('funkcje/funkcje_strona.php');
include('funkcje/funkcje_baza.php');
?>
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2">
<link rel="stylesheet" href="/style.css " type="text/css">
</head>
 
 
<?php
if($_GET['login'] == 'check'){
 
$user_login = $_POST["user_login"];
$user_password = $_POST["user_password"];
 
if($user_login == "" || $user_password == "") {
func_wiadomosc('Błąd!', 'Nie wpisałeś loginu lub hasła!', '4', 'index.php');
exit();
}
 
else {
db_connect();
$query = "SELECT * FROM users WHERE user_login = '$user_login' AND user_password = '$user_password'";
$result = mysql_query($query);
$row = mysql_fetch_array($result);
if($row['user_login'] !== $user_login && $row['user_password'] !== $user_password) {
func_wiadomosc('Błąd!', 'Podane dane się nie zgadzają.', '3', 'index.php');
exit();
}
else {
$_SESSION['zalogowany'] = 'true';
$_SESSION['user_id'] = $row['user_id'];
$_SESSION['user_login'] = $row['user_login'];
$_SESSION['user_position'] = $row['user_position'];
 
func_wiadomosc('Witamy '.$_SESSION['user_login'].'!', 'Poprawnie zalogowano.', '4', 'index.php');
exit();
}
}
}
 
if($_GET['login'] == 'wyloguj') {
unset($_SESSION['zalogowany']);
unset($_SESSION['suser_id']);
unset($_SESSION['suser_login']);
unset($_SESSION['suser_position']);
session_destroy();
if(!$_SESSION['zalogowany']){
func_wiadomosc('Żegnaj '.$_SESSION['user_login'].'!', 'Poprawnie wylogowano!', '4', 'index.php');
exit();
}
}
?>
[PHP] pobierz, plaintext 

Skrypt wygląda następująco. Problem z wylogowywaniem rozwiązany, a sprawa logowania wciąż pozostaje.

bump

Ten post edytował Kaarpiik 26.08.2010, 09:00:38