[MySQL][PHP] Logowanie. While powiela komunikat... Opcje

[Bureau]

Siemanko.

Napisałem sobie prosty skrypt logowania.
Skrypt po zalogowaniu przekierowywuje na index2.php poprzez header().
Niestety gdy używam else aby wyświetlić niepowodzenie operacji, to while mi powiela komunikat.
Dzieje się chyba dlatego ponieważ sprawdzam dwie zmienne ? Nie wiem dokładnie.

Kod przedstawia się następująco:

[PHP] pobierz, plaintext 
<?php 
session_start();
if (isset($_POST['submit'])) {
	$conn = mysqli_connect("localhost", "", "", "test");
 
		$login = $_POST['login'];
		$haslo = $_POST['haslo'];
 
		$zapytanie = "SELECT * FROM uzytkownicy";
		$data = mysqli_query($conn, $zapytanie) or die("MySQL error: " . mysqli_error($conn) . "<hr>\nQuery: $zapytanie");
 
		if ($zapytanie) {
			while ($row = mysqli_fetch_array($data)) {
				if ($login == $row['login'] || $haslo == $row['haslo']) {
 
						$_SESSION['zalogowany'] = true;
						header("location:index2.php");
 
			}
				else {
						?>	
							Niepoprawne dane. Zaloguj sie ponownie!
							<a href="logowanie.php" >Logowanie</a>
						<?
						}
 
 
		}
 
 
		}
 
		}
		else {
		?>
 
		<form action="logowanie.php" method="post" />
			<input name="login" />
			<input name="haslo" />
			<input type="submit" name="submit" value="Zaloguj" />
		</form>
 
		<?php
		}
?>
[PHP] pobierz, plaintext 

Komunikat:

Kod

Niepoprawne dane. Zaloguj sie ponownie!
<a href="logowanie.php" >Logowanie</a>

Zostaje powielany.
Wiem że jest on w petli, ale jak jest gdzie indziej to nie działa
Chciałem zastosować też header(), ale wtedy nawet gdy podam poprawne dane w formularzu to przekierowuje mnie na logwanie.php bez sesji...

Da sie to jakos inaczej wyświetlić ? Próbowałem foreach, ale niestety dzialania tej instrukcji nie kumam do końca.

Dzięki za odpowiedzi

Pozdrawiam!

[kaktus283]

A przypadkiem linia 14 nie powinna wyglądać o tak ?

[PHP] pobierz, plaintext 
if( $login == $row['login'] && $haslo == $row['haslo'] ) {
[PHP] pobierz, plaintext 

[Damonsson]

A do czego służy Ci ten while w 13 linijce?

[camikazee]

Dziwny skrypt, podglądałeś w internecie jak "prawidłowo" wykonać skrypt logowania? Po co pobierać wszystkich userów z bazy i w pętli sprawdzać czy pasuje hasło i login do któregoś?
Przykładowo:

[PHP] pobierz, plaintext 
$zapytanie = "SELECT * FROM uzytkownicy WHERE login = '".$_POST['login']."' AND haslo = '".$_POST['haslo']."'";
[PHP] pobierz, plaintext 

Oczywiście pomijam kwestię bezpieczeństwa powyższego kodu. Kolejna sprawa, koduj hasła choćby w MD5.
A teraz ostatnia kwestia, zobacz masz w bazie 100 userów, logujesz, 99 pierwszych nie pasuje do szukanego login, hasło, więc wyświetli komunikat o błędzie, setny zaś pasuje, ale przekierowania już nie zrobi, bo wyświetlił informacje o wcześniejszym błędzie.

Ten post edytował camikazee 10.04.2012, 11:54:58

[Bureau]

A przypadkiem linia 14 nie powinna wyglądać o tak ?

[PHP] pobierz, plaintext 
if( $login == $row['login'] && $haslo == $row['haslo'] ) {
[PHP] pobierz, plaintext 

To chyba nic nie zmienia ? Było też && i był (tak mi sie wydaje) ten sam efekt

A do czego służy Ci ten while w 13 linijce?

Ten while ? Tak szczrze to chciałbym się go pozbyć, bo to takie moje przyzwyczajenie w pisaniu wyświetlania
Jakim sposobem mogę inaczej to zapisać aby nie była to pętla ? Bo zdaje mi się że to ona powiela mi komunikat i są same problemy...

Dziwny skrypt.
Oczywiście pomijam kwestię bezpieczeństwa powyższego kodu. Kolejna sprawa, koduj hasła choćby MD5.
A teraz ostatnia kwestia, zobacz masz w bazie 100 userów, logujesz, 99 pierwszych nie pasuje do szukanego login, hasło, więc wyświetli komunikat o błędzie, setny zaś pasuje, ale przekierowania już nie zrobi, bo wyświetlił informacje o wcześsiejszym błędzie.

Co do bezpieczeństwa to wiem, jest paskudnie, ale to tak na szybko pisany z pamięci kod.
Ucze sie php, wiem tez ze w md5 koduje sie hasla do bazy i odwrotnie to na to przyjdzie czas na razie trenuje sobie
Twoje zapytanie miałem wbite w kod, ale nie działało bo nie dawałem chyba średników

Jak mogę to zrobić bez pętli ? Po prostu po wykonaniu zapytania zamiast while dać:

[PHP] pobierz, plaintext 
if ($zapytanie) { ...
[PHP] pobierz, plaintext 

?

Pozdrawiam!

Ten post edytował Bureau 10.04.2012, 10:33:34

[camikazee]

Trzeba zacząć od analizy gotowych kodów i przyjąć pewną logikę.
Postaram się Tobie wytłumaczyć jak to powinno wyglądać.

1. Pobieram od użytkownika login oraz hasło
2. Sprawdzam jednym zapytaniem czy istnieje w bazie user o takim loginie i takim haśle
3. Istnieje, to przekierowuję, nie wyświetlam błąd

U Ciebie jest tak
1. Pobieram wszystkich użytkowników z bazy
2. Sprawdzam czy do któregoś pasuje login lub hasło (ta zasadnicza różnica pomiędzy || a && - || oznacza że obojętnie który warunek musi być spełniony czyli w Twoim przypadku wystarczy, że znajdzie uzytkownika o danym loginie lub danym haśle i nie muszą wcale one pasować do siebie, && oznacza, że szuka usera, który ma login jakiś tam i hasło przypisane i oba warunki muszą być spełnione)
3. Dla każdego użytkownika pobranego, jeżeli hasło i login nie pasują wyświetlam błąd

Widzisz różnicę?

Po co pobierać wszystkich użytkowników, jak szukasz tylko jednego?
I pamiętaj, jak coś nie działa, to nie dlatego, że jest złe w swym założeniu, tylko Ty źle to zbudowałeś.

Ten post edytował camikazee 10.04.2012, 12:03:33

[-md5_jest_slabe-]

md5 na obecne standardy jest uznawany za słaby algorytm hashujący i ma dość rozbudowaną bazę hashy, więc nie należy go stosować

https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet

zainteresuj się raczej PHPass używanym przez wordpress, phpbb3 i inne duże skrypty

[Bureau]

Trzeba zacząć od analizy gotowych kodów i przyjąć pewną logikę.
Postaram się Tobie wytłumaczyć jak to powinno wyglądać.

1. Pobieram od użytkownika login oraz hasło
2. Sprawdzam jednym zapytaniem czy istnieje w bazie user o takim loginie i takim haśle
3. Istnieje, to przekierowuję, nie wyświetlam błąd

U Ciebie jest tak
1. Pobieram wszystkich użytkowników z bazy
2. Sprawdzam czy do któregoś pasuje login lub hasło (ta zasadnicza różnica pomiędzy || a && - || oznacza że obojętnie który warunek musi być spełniony czyli w Twoim przypadku wystarczy, że znajdzie uzytkownika o danym loginie lub danym haśle i nie muszą wcale one pasować do siebie, && oznacza, że szuka usera, który ma login jakiś tam i hasło przypisane i oba warunki muszą być spełnione)
3. Dla każdego użytkownika pobranego, jeżeli hasło i login nie pasują wyświetlam błąd

Widzisz różnicę?

Po co pobierać wszystkich użytkowników, jak szukasz tylko jednego?
I pamiętaj, jak coś nie działa, to nie dlatego, że jest złe w swym założeniu, tylko Ty źle to zbudowałeś.

Tak, widzę różnicę
Dzięki za wytłumaczenie

Tylko teraz jak już sprawdze czy dany user istnieje w bazie (Twoim sposobem) to co dalej ?

[PHP] pobierz, plaintext 
if ($zapytanie) {
przekierowanie do indexu
} else {
przekierowanie na formularz logowania
}
[PHP] pobierz, plaintext 

EDIT ////////

Do przykładowego wyświetlania po zapytaniu użyłem:

[PHP] pobierz, plaintext 
$row = mysqli_fetch_array($data);
echo "Twoje id to" . $row['id'];
[PHP] pobierz, plaintext 

Chciałem sprawdzic na szybko czy dobrze czyta uzytkowników.
Teraz kwestia tego żeby wyświetlić error w przypadku podania złych danych lub gdy sa one prawidlowe uzycia header() lub innego przekierowania.
Chodzi tu chyba tylko jaki warunek dac w if, aby rozpoznawalo kiedy ma przekierowac a kiedy wyswietlic blad.

Ten post edytował Bureau 10.04.2012, 13:43:22

[camikazee]

Nie, nadal nie zrozumiałeś.

[PHP] pobierz, plaintext 
    <?php
    session_start();
    if (isset($_POST['submit'])) {
    $conn = mysqli_connect("localhost", "", "", "test");
 
    $login = $_POST['login'];
    $haslo = $_POST['haslo'];
 
    $zapytanie = "SELECT * FROM uzytkownicy WHERE login = '".$login."' AND haslo = '".$haslo."'";
    $data = mysqli_query($conn, $zapytanie) or die("MySQL error: " . mysqli_error($conn) . "<hr>\nQuery: $zapytanie");
 
    if (mysql_num_rows($data)==1) { // czy znaleziono TYLKO jednego usera z pasujacym loginem i haslem
    $_SESSION['zalogowany'] = true;
    header("location:index2.php");
 
    }
    else {
    ?>
    Niepoprawne dane. Zaloguj sie ponownie!
    <a href="logowanie.php" >Logowanie</a>
    <?
    }
 
 
    }
 
 
    }
 
    }
    else {
    ?>
 
    <form action="logowanie.php" method="post" />
    <input name="login" />
    <input name="haslo" />
    <input type="submit" name="submit" value="Zaloguj" />
    </form>
 
    <?php
    }
    ?>
[PHP] pobierz, plaintext