[MySQL][PHP]Wyciąganie access z bazy Opcje

[Tamtaram]

[PHP] pobierz, plaintext 
        <li><a href="#"><?php
if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;$_SESSION["poziom"]=0;echo "Zostales wylogowany z serwisu";}
if($_SESSION["zalogowany"]!=1){
	if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
		if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'"))){
			$_SESSION["poziom"]=mysql_query("SELECT access FROM users WHERE user_login = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'") ;
			$_SESSION["zalogowany"]=1;
			header("Location: index.php");
			die();
			}
		else echo ShowLogin("Podano zle dane!!!");
		}
	else ShowLogin();
}
else{
?>
Jestes zalogowany.
<?php
echo $_SESSION["poziom"];
?>
[PHP] pobierz, plaintext 

Głównie chodzi o to, że po "Jesteś zalogowany" powinno napisać access usera.




Podejrzewam, ba, jestem pewny, że rypłem się przy tym zapytaniu:

[PHP] pobierz, plaintext 
$_SESSION["poziom"]=mysql_query("SELECT access FROM users WHERE user_login = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'") ;
[PHP] pobierz, plaintext 

więc jak powinno ono wyglądać poprawnie? Bo o dziwo wykonując je w bazie pokazuje mi poprawnie access.

Ten post edytował Tamtaram 26.07.2011, 05:33:41

[CuteOne]

1. Zrobiłeś dwa zapytania do tej samej tabeli
2. htmlspecialchars <- po co to przy haśle, które powinno zostać zhashowane ?
3. Gdzie masz jakąkolwiek filtracje danych?
4. Jeżeli nie jesteś pewien czy zapytanie działa dodaj na jego końcu "or die(mysql_error());"

"$_SESSION["poziom"]=mysql_query(" ... tego wybryku to nawet nie ma co komentować


Innymi słowy nie pojmujesz podstaw - zajrzyj na google po tutoriale o MySQL, panelach logowania i bezpieczeństwie

Ten post edytował CuteOne 26.07.2011, 07:04:20