[MySQL][PHP]W polowie dzialajace logowanie Opcje

[Raven1122]

Witam, mam taki problem. Zrobilem logowanie, które prrawidłowo robi:
Sprawdzenie czy pola nie są puste
Sprawdzenie hasla
lecz nawet jak wpisze prawidlowe haslo to i tak nie przepuszcza mnie do strony.
Oto Kod:

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['login']) && isset($_POST['pass'])){
	mysql_connect('lxxxx) or die(mysql_error());
 
	mysql_select_db('xxxx') or die(mysql_error());
 
	$login = $_POST['login'];
	$pass = $_POST['pass'];
 
	if($login != '' && $pass != ''){
	}
 
	else {
	echo("Wypelnij wszystkie pola");
	exit();
	}
 
	$sql = "SELECT password FROM emes_users WHERE username = '$login'";
	$query = mysql_query($sql) or die(mysql_error());
	$row = mysql_fetch_array($query);
 
	if($pass != $row['password']){
		header("Location:index.php");
		exit();
	}
	else {
	 session_start();
     $_SESSION['auth'] == 1;
	}	
}
if($_SESSION['auth'] == 1){
	?>
//Kod strony
<?php
}
else {
	echo ("Brak uprawnien");
	exit();
	}
?>
[PHP] pobierz, plaintext 

Proszę o pomoc

Ten post edytował Raven1122 6.01.2012, 19:15:40

[Evinek]

Po pierwsze:
Zmień

[PHP] pobierz, plaintext 
else {
	 session_start();
     $_SESSION['auth'] == 1;
	}	
[PHP] pobierz, plaintext 

Na

[PHP] pobierz, plaintext 
else {
     $_SESSION['auth'] = 1;
	}	
[PHP] pobierz, plaintext 

A

[PHP] pobierz, plaintext 
	 session_start();
[PHP] pobierz, plaintext 

daj na samej górze.
Hasła nie sprawdzaj w PHP tylko w MYSQL.
Funkcja AND dodaj do zapytania.
Jeśli znajdzie taki nick i takie hasło to zalogować.
Mam nadzieje, że zrobisz to sam.

Podatność na sql injection.

I rób tak:

[PHP] pobierz, plaintext 
$login = trim($_POST['login']);
	$pass = trim($_POST['pass']);
[PHP] pobierz, plaintext 

To chyba wszystko, pozdrawiam Paweł.

Ten post edytował Evinek 6.01.2012, 19:26:06

[Raven1122]

Dobra wykonalem juz zmiany w php ale teraz jak sprawidzic hasla przez mysql i gdzie dac to AND?

[Evinek]

Zamień

[PHP] pobierz, plaintext 
$sql = "SELECT password FROM emes_users WHERE username = '$login'";
	$query = mysql_query($sql) or die(mysql_error());
	$row = mysql_fetch_array($query);
 
	if($pass != $row['password']){
		header("Location:index.php");
		exit();
	}
	else {
     $_SESSION['auth'] = 1;
	}	
[PHP] pobierz, plaintext 

Na

[PHP] pobierz, plaintext 
	$sql = "SELECT * FROM emes_users WHERE username = '$login' AND password = '$pass'";
	$query = mysql_query($sql) or die(mysql_error());
	if(mysql_num_rows($query) > 0){
		$_SESSION['auth'] = 1;
	}
	else{
		header("Location:index.php");
		exit();
	}
[PHP] pobierz, plaintext 

Powinno działać.

@EDIT:
Jak to wszystko zrobisz to przeanalizuj kod abyś wszystko zrozumiał.

Ten post edytował Evinek 6.01.2012, 19:36:45

[Raven1122]

teraz to juz wchodzi na board.php bez podania pasow ;/