Pytanie dotyczące znaczników, Pytanie dotyczące znaczników Opcje

[danielntk]

Witam:) To chyba mój pierwszy post.

Czy dokument php jest poprawnie napisany ? , chodzi o zastosowanie znaczników php a w środku jest html. ?

[PHP] pobierz, plaintext 
<?php
session_start();
include('mysql.php');
 
?>
 
<html>
<head>
<body>
<form action="zaloguj.php" method="POST">
<table>
<tr>
<td><label for="1">Gracz:</label></td><td><input type="text" name="uzytkownik" id="1"></td>
</tr>
 
<tr>
<td><label for="2">Hasło:</label></td><td><input type="password" name="haslo"id="2"></td>
<td><input type="submit" value="Zaloguj" </td>
</tr>
</table>
</form>
</body>
</head>
</html>
 
<?php
 
if(isset($_POST['uzytkownik']) && isset($_POST['haslo'])) {
 
$uzytkownik = $_POST['uzytkownik'];
$haslo = $_POST['haslo'];
 
 
 
$haslo = sha1(md5($haslo));
 
$zaloguj = "SELECT * FROM `gracz` WHERE `uzytkownik`='$uzytkownik' AND `haslo`='$haslo'";
$rezultat = mysql_query($zaloguj);
$pokaz = mysql_fetch_assoc($rezultat);
 
}
 
if(isset($pokaz['uzytkownik']) && isset($pokaz['haslo'])) {
 
    $_SESSION['uzytkownik'] = $uzytkownik;
    $_SESSION['haslo'] = $haslo;
 
   echo header("Location: index.php");
 
}
?>
 
 
[PHP] pobierz, plaintext 

Ten post edytował danielntk 19.06.2011, 16:47:55

[mat-bi]

nie ma to jak stare, dobre SQL Injection, jeszcze do tego najprosztsze, jakie może być (IMG:style_emoticons/default/wink.gif)

A tak serio:
1. wywal echo przed header
2. popraw skrypt n odpornośc przed SQL Injection
3. użyłbym mysql_num_rows zamiast mysql_fetch_assoc
4. może nawet w ogóle bym wywalić zwykłego selecta, zastępując go COUNT(), gdyż i tak zapisujesz do sesji tylko te dane, które dostajesz z formularza

[danielntk]

ale co to znaczników ? , Bo są dwa razy użyte <?php ?> (IMG:style_emoticons/default/smile.gif) Jest dobrze zrobione

[mat-bi]

Mozesz otworzyć tyle razy te znaczniki, ile chcesz (oczywiście, w granicach poprawności i normy (IMG:style_emoticons/default/wink.gif) )

[markonix]

Przecież jest to totalnie niepoprawne.
header nigdy się nie wykona gdy coś prześlesz do przeglądarki, a cała strona jest przesyłana.
Jeśli umieszczasz kod PHP w pliku z HTMLem to staraj się go dawać na samym początku, a w samym kodzie PHP stosuj tylko funkcje typu echo.

Np. teraz warto by dać informacje o niepoprawnym loginie, a chyba nie wyświetlisz tego w stopce strony?
Poza tym po co zmienne $zaloguj i $rezultat gdy można wszystko zapisać tak:

[PHP] pobierz, plaintext 
$row =  mysql_fetch_assoc(mysql_query("SELECT * FROM `gracz` WHERE `uzytkownik`='$uzytkownik' AND `haslo`='$haslo'"));
[PHP] pobierz, plaintext