Logowanie admina strony Opcje

[aagaaz]

Witam.

Mam problem z logowaniem admina.
W pliku login.php umiescilam kod:

[PHP] pobierz, plaintext 
if ($_POST['login']=='admin'and $_POST['haslo']=='admin')
{
header('Location:admin/panel_admin.php');
}
[PHP] pobierz, plaintext 

ale chcialabym , aby pobieral zaszyfrowane haslo admina, ktore mam w bazie danych.

Może cie mi pomóc...

Powód edycji: [Cysiaczek]: bbcode, pamiętaj w przyszłości

[Mephistofeles]

Czytaj. Btw takie coś to żadne zabezpieczenie. Wystarczy wpisać adres admin/panel_admin i już masz dostęp do panelu.

[aagaaz]

Dlatego chciałam , aby haslo bylo pobierane zaszyfrowane... z bazy sql

[daros17]

Poczytaj o md5 i sha1, sesjach

Ten post edytował daros17 21.11.2010, 13:01:08

[Mephistofeles]

Dobrze, ale nie w tym problem. I tak nikt nie odczyta wartości zmiennych i parametrów ze skryptu bez dostępu do kodu. Problem w tym, że przekierowujesz po prostu na stronę panelu, zamiast zrobić np. include i po stronie panelu sprawdzać, czy admin jest zalogowany, do czego stosuje się sesje.

I jeszcze jedno, haseł w bazie się nie szyfruje, a hashuje (jest to jednostronna operacja) . Zajrzyj do wspomnianego tutoriala, tam powinno być wszystko opisane.

[aagaaz]

Czy bez tej autoryzacji nie można zalogować admina...

[modern-web]

To co ty robisz to tzw. "przekierowanie" po sprawdzeniu wpisanych wartości...
Logowanie wyróżnia się tym, że TYLKO zalogowani mają dostęp do tej treści.
Jeśli chcesz zabezpieczyć panel_admin przed niepowołanymi gośćmi po prostu sprawdź na początku tego pliku, czy dana sesja istnieje. Jeśli nie to zastosuj header (przekierowanie) na stronę z możliwością zalogowania

Nic trudnego.
Wpisz w google: php session i jeden z trzech pierwszych linków powinien dostarczyć Ci wszystkich niezbędnych informacji.

Pozdrawiam!

[aagaaz]

No mam sprawdzenie sesji...

[PHP] pobierz, plaintext 
if(isset($_SESSION['login'])) 
{
 
echo'<h3>Zostałeś poprawnie zalogowany <br />
Teraz możesz zająć się porządkiem na stronie :) </h3><br />';
}
else 
{
echo'<h2>Wyjdź stąd , ta strona nie jest dla Ciebie...</h2>';
}
[PHP] pobierz, plaintext 

ale nie wiem jak tu ustawić , że ma być zalogowany admin....

A w pliku login mam przekierowanie...

[PHP] pobierz, plaintext 
if ($_POST['login']==$login and $_POST['haslo']==$haslo){
include('admin/admin.php');
header('Location:./admin/panel_admin.php');
}
[PHP] pobierz, plaintext 

[pyro]

Może spróbuj coś w ten deseń:

[PHP] pobierz, plaintext 
 
      if ($_POST['login']==$login and $_POST['haslo']==$haslo || !empty($_SESSION['admin'])) {
 
      $_SESSION['admin'] = true;
 
      header('Location:./admin/panel_admin.php');
 
      }
[PHP] pobierz, plaintext 

panel_admin.php:

[PHP] pobierz, plaintext 
<?php
 
if(empty($_SESSION['admin']))
{
echo 'Najpierw się zaloguj...';
exit;
}
 
// dalsza czesc panel_admin.php
 
?>
[PHP] pobierz, plaintext 

[aagaaz]

Wogóle nie przenosi mnie po zalogowaniu na strone panel admin..
Może nie w tym miejscu umieściłam kod sprawdzania...
Możecie sprawdzić...

[PHP] pobierz, plaintext 
<?php 
 
include ('db.php');
 
 
if(isset($_POST['Zaloguj']))
	{
 
 
			$id=$_POST['id'];
			$login = $_POST['login'];
			$haslo = $_POST['haslo'];
 
			// sprawdzamy czy wszystkie dane zostały podane
			if(empty($login) || empty($haslo))
			{
				echo '<h3>Wpisz wszystkie pola!</h3>';
 
			}
			else
			{
				// filtrujemy dane
				$login = trim(strip_tags( mysql_real_escape_string( HTMLSpecialChars($login))));
				$haslo = trim(strip_tags( mysql_real_escape_string( HTMLSpecialChars($haslo))));
 
				// kodujemy hasło
				$haslo = md5($haslo);
 
				// sprawdzamy czy istnieje użytkownik z takim loginem i hasłem
					$result = mysql_query("SELECT * FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'");
 
					if(!mysql_num_rows($result))
 
					echo '<h3> Niestety podałęs niepoprawne dane!</h3>';
 
												else
                        {
                                // dodajemy wynik zapytania do tablicy
                                $row = mysql_fetch_assoc($result);
 
                                // ustawianie sesji że użytkownik jest zalogowany
                                $_SESSION['logged'] = true;
 
																// dodawanie do sesji loginu 
 
                                $_SESSION['login'] = $row['login'];
																$_SESSION['id'] = $row['id'];
 
 
 
												}				
				}	
	}				
 
// sprawdzamy czy user jest już zalogowany
if(isset($_SESSION['login'])) 
{
if ($_POST['login']==$login and $_POST['haslo']==$haslo || !empty($_SESSION['admin'])) { 
 
$_SESSION['admin'] = true;
 
header('Location:./admin/panel_admin.php');
 
}	
 
        // wyświetlamy userowi jego dane
        echo '<h3><br />Witaj '.$_SESSION['login'].'!<br /></h3>';
 
 
$zapytanieSelect="SELECT ostatnie_log FROM uzytkownicy WHERE login='$login'";
 
$wykonaj = mysql_query ($zapytanieSelect);
 
$wiersz=mysql_fetch_array($wykonaj);
echo'<h4>Data ostatniego logowania:</h4>';
echo  $wiersz[6]."<br>";
 
echo'
<form action="wyloguj.php" method="post" >
 
				<a href="edytujprofil.php">Edytuj profil</a><br/>
				<a href="dodajplik.php">Dodaj pliki</a><br />
				<a href="dodajkomentarz.php">Dodaj komentarz</a><br />
				<a href="wiadomosci/dodajwiadomosc.php">Prywatne wiadomości</a>
 
<p>
<input type="submit" name="Wyloguj" value="Wyloguj" size="20"  class="button">
</p>
 
</form>';
 
}
header('Location: '.$_POST['URI']);
 
// rozłączenie z bazą danych
mysql_close();
 
?>
[PHP] pobierz, plaintext 

[ADeM]

Włącz raportowanie błędów i powiedz czym sypie.
Na początku pliku dodaj session_start().

[pyro]

1. Zobacz, czy na początku pliku nie masz jakichś znaków (nawet zwykłej spacji) i jeśli plik jest kodowany w UTF-8, to czy jest kodowany bez nagłówka BOM

2. Nie wiem po co to dałaś:

header('Location: '.$_POST['URI']);

bo:
a.) To i tak nie zadziała, bo wyżej wyświetlasz dane
b.) Jakby działało, to skrypt byłby podatny na Phishing

3. Po co te całe htmlspecialchars na dane jeśli:
a.) hasło i tak jest kodowane md5, więc i tak bazie nie zagrozi
b.) mysql_real_escape_string() wystarczy do zabezpieczenia przed SQL Injection
c.) Jak usuniesz stamtąd htmlspecialchars(), to uzywaj go przy wyświetlaniu danych.

Ten post edytował pyro 5.12.2010, 23:29:18

[Rid]

1. Zobacz, czy na początku pliku nie masz jakichś znaków (nawet zwykłej spacji) i jeśli plik jest kodowany w UTF-8, to czy jest kodowany bez nagłówka BOM

2. Nie wiem po co to dałaś:



bo:
a.) To i tak nie zadziała, bo wyżej wyświetlasz dane
b.) Jakby działało, to skrypt byłby podatny na Phishing

3. Po co te całe htmlspecialchars na dane jeśli:
a.) hasło i tak jest kodowane md5, więc i tak bazie nie zagrozi
b.) mysql_real_escape_string() wystarczy do zabezpieczenia przed SQL Injection
c.) Jak usuniesz stamtąd htmlspecialchars(), to uzywaj go przy wyświetlaniu danych.

1.Funkcja usuwająca spacje -trim ,jeden kłopot mniej
3.Funkcje typu htmlspecialchars,htmlentities - konwertują znaki specjalne na Encje-jak użyjesz polskiej literki to funkcja potraktuje ją jak znak specjalny i zamieni np. "ó" na &auml -jednakże funkcje te chronią przed atakami XSS jak również addslashes i stripsslashes dodające lub ujmujące w określonych przypadkach ukośniki.Chronią one dokument php przed atakami XSS nie SQLInjection-do tego służy właśnie mysql_real_escape_string() która bezpośrednio zabezpiecza bazę danych.Najlepszym sposobem zabezpieczenia pól według mnie jest zastosowanie wyrażeń regularnych poprzez funkcje preg_match ,ja staram się używać całego dostępnego"arsenału" aby zabezpieczyć i dokument i bazę danych.Nic to nie zaszkodzi przecież

[aagaaz]

header('Location: '.$_POST['URI']);

Dałam to po to , żeby logowanie odbywało się na tej stronie na której się znajduję... i to działa...

A chciałam tez aby po wpisaniu logina i hasla admina przenosilo mnie na strone panel admin... Bo nie chce panela umieszczać w menu, tylko zeby byl dostepny jak sie zaloguje na admina...

Ten post edytował aagaaz 6.12.2010, 11:55:43

[pyro]

1.Funkcja usuwająca spacje -trim ,jeden kłopot mniej
3.Funkcje typu htmlspecialchars,htmlentities - konwertują znaki specjalne na Encje-jak użyjesz polskiej literki to funkcja potraktuje ją jak znak specjalny i zamieni np. "ó" na &auml -jednakże funkcje te chronią przed atakami XSS jak również addslashes i stripsslashes dodające lub ujmujące w określonych przypadkach ukośniki.Chronią one dokument php przed atakami XSS nie SQLInjection-do tego służy właśnie mysql_real_escape_string() która bezpośrednio zabezpiecza bazę danych.Najlepszym sposobem zabezpieczenia pól według mnie jest zastosowanie wyrażeń regularnych poprzez funkcje preg_match ,ja staram się używać całego dostępnego"arsenału" aby zabezpieczyć i dokument i bazę danych.Nic to nie zaszkodzi przecież

Bardzo fajnie, że podałeś błędne definicje i błędne założenia, a do tego nie przeczytałeś tego co napisałem, a ponadto podałeś błędne wnioski. Więc powiedz mi, po co to napisałeś ?

Dałam to po to , żeby logowanie odbywało się na tej stronie na której się znajduję... i to działa...

Dokładnie to samo by się działo, jakbyś usunęła tę linijkę, ale jeśli Cię uszczęśliwia to możesz ją zostawić

Zwróć uwagę na 1 punkt mojego poprzedniego postu (jeśli cokolwiek wyświetlasz przed podaniem header, to nie zostanie wykonany ten header), a ponadto na początku swojego pliku wklej:

[PHP] pobierz, plaintext 
error_reporting(E_ALL);
 
echo ini_get('display_errors') ? '' : 'WLACZ DYREKTYWE DISPLAY_ERRORS';
[PHP] pobierz, plaintext 

I zobacz wynik, szczególnie zwróć uwagę na błędy typu 'headers already sent...'.

Jeśli to nie zadziała, to ściągnij wtyczkę podglądającą nagłówki HTTP, np. Tamper Data i zobacz czy nagłówek Location jest na pewno przesyłany.

[aagaaz]

Kodowanie jest ok...

Włączyłam raportowanie błędów i nic nie pokazuje ...

Przerobiłam trochę i pokazuje mi błędy... i logowanie dziala na stronie na której aktualnie jestem .... Ale nie działa przekierowanie na panel admina...
Nie pokazuja się błędy typu header...

[PHP] pobierz, plaintext 
<?php 
 
include ('db.php');
 
 
if(isset($_POST['Zaloguj']))
	{
 
 
			$id=$_POST['id'];
			$login = $_POST['login'];
			$haslo = $_POST['haslo'];
 
			// sprawdzamy czy wszystkie dane zostały podane
			if(empty($login) || empty($haslo))
			{
				echo '<h3>Wpisz wszystkie pola!</h3>';
				echo '<meta http-equiv="refresh" content="3; URL=../index.php">';
 
			}
			else
			{
				// filtrujemy dane
				$login = trim(strip_tags( mysql_real_escape_string($login)));
				$haslo = trim(strip_tags( mysql_real_escape_string($haslo)));
 
				// kodujemy hasło
				$haslo = md5($haslo);
 
				// sprawdzamy czy istnieje użytkownik z takim loginem i hasłem
					$result = mysql_query("SELECT * FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'");
 
					if(!mysql_num_rows($result))
 
					echo '<h3> Niestety podałeś niepoprawne dane!</h3>
								<meta http-equiv="refresh" content="3; URL=../index.php">';
 
												else
                        {
                                // dodajemy wynik zapytania do tablicy
                                $row = mysql_fetch_assoc($result);
 
                                // ustawianie sesji że użytkownik jest zalogowany
                                $_SESSION['logged'] = true;
 
																// dodawanie do sesji loginu 
 
                                $_SESSION['login'] = $row['login'];
																$_SESSION['id'] = $row['id'];
 
 
 
												}				
				}	
	}				
 
// sprawdzamy czy user jest już zalogowany
		if(isset($_SESSION['login'])) 
{
		header('Location: '.$_POST['URI']);
 
        // wyświetlamy userowi jego dane
        echo '<h3><br />Witaj '.$_SESSION['login'].'!<br /></h3>';
 
 
$zapytanieSelect="SELECT ostatnie_log FROM uzytkownicy WHERE login='$login'";
 
$wykonaj = mysql_query ($zapytanieSelect);
 
$wiersz=mysql_fetch_array($wykonaj);
echo'<h4>Data ostatniego logowania:</h4>';
echo  $wiersz[6]."<br>";
 
echo'
<form action="wyloguj.php" method="post" >
 
				<a href="edytujprofil.php">Edytuj profil</a><br/>
				<a href="dodajplik.php">Dodaj pliki</a><br />
				<a href="dodajkomentarz.php">Dodaj komentarz</a><br />
				<a href="wiadomosci/dodajwiadomosc.php">Prywatne wiadomości</a>
 
<p>
<input type="submit" name="Wyloguj" value="Wyloguj" size="20"  class="button">
</p>
 
</form>';
 
}
else 
		{
			if ($_POST['login']==$login and $_POST['haslo']==$haslo || !empty($_SESSION['admin'])) 
	{ 
 
		$_SESSION['admin'] = true;
            header('Location:admin/panel_admin.php') ;
 
	}
		}	
 
 
// rozłączenie z bazą danych
mysql_close();
 
?>
[PHP] pobierz, plaintext 

Ten post edytował aagaaz 7.12.2010, 20:23:08

[jesus61]

To może napisz jakie błędy się pokazują.
A tak poza tym to:
1. Zakładam że session_start() jest w pliku db.php albo jakimś wcześniejszym, bo jeżeli go nie ma to całość nie ma sensu.
2. "else" z linijki 89 ( ten co ma przekierować ) wykona się tylko gdy użytkownik nie jest zalogowany ( patrz "if" z linijki 58 ) co miało by sens gdyby konto admina nie było wpisane do bazy danych.
3. "if" z linijki 91 jest moim zdaniem bez sensu ze względu na linijki 11, 12 oraz 24, 25, 28. $login będzie "prawie" zawsze zgodny z $_POST['login'] a $haslo z $_POST['haslo'] nigdy! Pomijając fakt że to wygląda tak jakby każdy był adminem O.O

Poprawcie mnie jeżeli coś źle zrozumiałem/napisałem

EDIT: Znalazłem trochę czasu więc takie coś:

Zakładając że admin loguje się jak każdy normalny użytkownik i ma konto wpisane do bazy danych:

[PHP] pobierz, plaintext 
<?php
include ('db.php');
 
if(isset($_POST['Zaloguj']))
{
 
 
	$id=$_POST['id'];
	$login = $_POST['login'];
	$haslo = $_POST['haslo'];
 
	// sprawdzamy czy wszystkie dane zostały podane
	if(empty($login) || empty($haslo))
	{
		echo '<h3>Wpisz wszystkie pola!</h3>';
		echo '<meta http-equiv="refresh" content="3; URL=../index.php">';
 
	}
	else
	{
		// filtrujemy dane
		$login = trim(strip_tags( mysql_real_escape_string($login)));
		$haslo = trim(strip_tags( mysql_real_escape_string($haslo)));
 
		// kodujemy hasło
		$haslo = md5($haslo);
 
		// sprawdzamy czy istnieje użytkownik z takim loginem i hasłem
		$result = mysql_query("SELECT * FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'");
 
		if(!mysql_num_rows($result)) echo '<h3> Niestety podałeś niepoprawne dane!</h3> <meta http-equiv="refresh" content="3; URL=../index.php">';
		else
		{
			// dodajemy wynik zapytania do tablicy
			$row = mysql_fetch_assoc($result); 
			// ustawianie sesji że użytkownik jest zalogowany
			$_SESSION['logged'] = true; 
			// dodawanie do sesji loginu  
			$_SESSION['login'] = $row['login'];
			$_SESSION['id'] = $row['id'];
		}				
	}	
}				
 
// sprawdzamy czy user jest już zalogowany
if(isset($_SESSION['login'])) 
{
	// to przenosi admina do panel_admin.php
	$LOGIN_ADMINA = 'admin';
	if ( $LOGIN_ADMINA == $_SESSION['login'] || $_SESSION['admin'] == true )
	{
		$_SESSION['admin'] = true;
		header('Location: admin/panel_admin.php');
		exit;
	}
 
	header('Location: '.$_POST['URI']); 
    // wyświetlamy userowi jego dane
	echo '<h3><br />Witaj '.$_SESSION['login'].'!<br /></h3>';
 
 
	$zapytanieSelect="SELECT ostatnie_log FROM uzytkownicy WHERE login='$login'"; 
	$wykonaj = mysql_query ($zapytanieSelect); 
	$wiersz=mysql_fetch_array($wykonaj);
	echo  '<h4>Data ostatniego logowania:</h4>';
	echo  $wiersz[6]."<br>";
 
	echo	'<form action="wyloguj.php" method="post" > 
			<a href="edytujprofil.php">Edytuj profil</a><br/>
			<a href="dodajplik.php">Dodaj pliki</a><br />
			<a href="dodajkomentarz.php">Dodaj komentarz</a><br />
			<a href="wiadomosci/dodajwiadomosc.php">Prywatne wiadomości</a><p>
			<input type="submit" name="Wyloguj" value="Wyloguj" size="20"  class="button">
			</p></form>'; 
}
 
 
// rozłączenie z bazą danych
mysql_close(); 
?>
[PHP] pobierz, plaintext 

Ustawiasz login admina w zmiennej w linijce 49 i powinno działać.
PS. Pozwoliłem sobie trochę .... wytrimować(?) kod

Ten post edytował jesus61 8.12.2010, 10:49:16

[aagaaz]

WIELKIE DZIĘKI

Działa ...

Plusik dla CIEBIE