problem z logowaniem :( Opcje

[Gligamesh]

witam ma taki skrypt logowania

[PHP] pobierz, plaintext 
<? 
 
mysql_connect (&#092;"localhost\", \"\", \"\");
mysql_select_db (&#092;"podkret\");
 
$query = mysql_query(&#092;"SELECT * FROM `redakcja` WHERE `nick`='\".$PHP_AUTH_USER.\"'\"); 
while ($rekord = mysql_fetch_array ($query)) 
{ 
$name = $rekord[1]; 
$password = $rekord[2]; 
} 
 
if (($PHP_AUTH_USER<>$name)or($PHP_AUTH_PW<>$password)) { 
  header(&#092;"WWW-Authenticate: Basic realm=\"tajna strefa\\"n\"); 
  header(&#092;"HTTP/1.0 401 Unauthorizedn\"); 
  echo &#092;"Brak autoryzacji!\"; 
  exit; 
} 
 
?> 
 
 
<!doctype html public \"-//w3c//dtd html 4.0 transitional//en\"> 
<html><head><meta http-equiv=\"content-type\" 
content=\"text/html; charset=iso-8859-2\"> 
<title>Tajna strefa</title></head><body> 
 
Ok, udało Ci się wej&para;ć do tajnej strefy... 
 
</body></html>
[PHP] pobierz, plaintext 

niby dziala ale nie dziala, od razu pokauzje zawartosc strony, jak zrobic by spełniał swoja role

[halfik]

Tak na oko to moze tak:

[PHP] pobierz, plaintext 
<?php
 
mysql_connect (&#092;"localhost\", \"\", \"\");
mysql_select_db (&#092;"podkret\");
 
$query = mysql_query(&#092;"SELECT * FROM `redakcja` WHERE `nick`='\".$PHP_AUTH_USER.\"'\"); 
while ($rekord = mysql_fetch_array ($query)) 
{ 
$name = $rekord[1]; 
$password = $rekord[2]; 
} 
 
if (($PHP_AUTH_USER==$name) && ($PHP_AUTH_PW==$password)) { 
  echo '<!doctype html public \"-//w3c//dtd html 4.0 transitional//en\">'; 
  echo '<html><head><meta http-equiv=\"content-type\" ';
  echo 'content=\"text/html; charset=iso-8859-2\">'; 
  echo '<title>Tajna strefa</title></head><body> ';
 
  echo 'Ok, udało Ci się wej&para;ć do tajnej strefy... ';
 
  echo '</body></html>';
 
 
}  
else{
  header(&#092;"WWW-Authenticate: Basic realm=\"tajna strefa\\"n\"); 
  header(&#092;"HTTP/1.0 401 Unauthorizedn\"); 
  echo &#092;"Brak autoryzacji!\"; 
  exit; 
} 
 
 
 
?>
[PHP] pobierz, plaintext 

[Gligamesh]

niestety nic z tego, okienko sie dalej nie poakzuje moze ktos zna jakis inny "bezpieczny" system logowania

[halfik]

no tak, nie uzywam authoriza i teraz widac

a system logowania to sobie mozesz przeciez sam napisac, rpsota sprawa: maly formularz kilka linijek kodu i jest proste logowanie

[Gligamesh]

tak wiem ale czy takie logowanie jest bezpieczne

[rogrog]

a czemu nie byle by nie było wykorzystania tego przeżytku zwanego register_globals i jeżeli współdziała z bazą danych było odporne na mysql injections i juz

[Gligamesh]

eee a tak po ludzku

[rogrog]

1. uzywasz tablicy $_GET np. $_GET[login] zamiast po prostu $login
2. jezeli korzystasz z bazy to przed wstawieniem np. loginu do zapytania przepuść go przez mysql_escape_string()

[Gligamesh]

tak

[PHP] pobierz, plaintext 
<?php
$login = mysql_escape_string($login);
?>
[PHP] pobierz, plaintext 

[rogrog]

no np.

[PHP] pobierz, plaintext 
<?php
$q = &#092;"SELECT nr, login, haslo FROM users WHERE login='\".mysql_escape_string($_GET[login]).\"' AND haslo='\".mysql_escape_string($_GET[haslo]).\"'\";
$r = mysql_query($q);
 
if(mysql_num_rows($r)>0) { 
	//zalogowany
}
 
?>
[PHP] pobierz, plaintext 

dodam ze dla bezpieczenstwa warto hashowac zapisane w bazie haslo md5()

ech... jak cos to sobie poszukaj na forum

[halfik]

z ty mbezpieczenstwem danych to raczej nie tak. dane na sieci chyba nigdy nie sa bezpieczne i nie beda. a jesli chodzi o logowanie, to mozna wspomoc sie protokolem SSL, ale jesli nie piszesz zadnego sklepu internetowego or something like that to nie zawracaj sobie tym glowy.

[Gligamesh]

ok zrobilem takie cos

[PHP] pobierz, plaintext 
<?require('menu.txt'); 
mysql_connect (&#092;"localhost\", \"\", \"\");
mysql_select_db (&#092;"podkret\");
session_start();
$zapytanie = &#092;"SELECT DISTINCT nick,haslo FROM redakcja WHERE nick='\".$_POST[\"login\"].\"' AND haslo='\".$_POST[\"pas\"].\"';\";
$wynik = mysql_query($zapytanie);
?>
<link rel=\"stylesheet\" type=\"text/css\" href=\"../css.css\"><meta http-equiv=\"Content-Language\" content=\"pl\">
<title>Panel Administracyjny</title>
<body topmargin=\"0\" leftmargin=\"0\">
<div align=\"center\">
  <center>
  <table border=\"0\" style=\"border-collapse: collapse; \" height=\"256\" width=\"770\">
    <tr>
<?
if(mysql_num_rows($wynik)!=0)
{
$_SESSION[&#092;"login\"]=$_POST[\"login\"];
$_SESSION[&#092;"pas\"]=$_POST[\"pas\"];
$_SESSION[&#092;"accept\"]=1;
while ($user = mysql_fetch_array($wynik))
{
echo&#092;"<td width=\"100%\\" height=\"220\" background=\"adm.jpg\" valign=bottom><div align=\"right\">
<table border=&#092;\"0\" width=\"350\" >
  <tr>
    <td width=&#092;\"100%\"><a href=\"panel_login.php?action=show\">Poka&iquest; profil</a>&nbsp; <a href=\"panel_login.php?action=edit\">Edytuj profil </a>&nbsp;<a href=\"?logout=t\">Wyloguj ($user[0])</a></td>
  </tr>
  <tr>
    <td width=&#092;\"100%\">&nbsp;</td>
  </tr>
</table>
</div></td>
    </tr>
    <tr> <td width=&#092;\"100%\" height=\"14\" bgcolor=\"#666666\"><center>$menu</center></td>
    </tr>
    <tr>
      <td width=&#092;\"100%\" height=\"298\" valign=\"top\">\";
// zalogowny 
 
 
 
 
//zalogowany      
}
}
else
{
[PHP] pobierz, plaintext 

logowanie dzial tylko niestey nie sesje co jest zle

Ten post edytował Gligamesh 2.08.2004, 17:46:12

[m_iwanicki]

Aby sesje działały nie mozesz wysłac nic do przeglądarki przed session_start(),
najpierw to a potem cała reszta.

[hispano]

Miałem ten sam problem. To była walka z wiatrakami, ponieważ ta metoda autoryzacji działa tylko gdy Server API to Apache (tak jak w Krasnalu). Natomiast często na serwerach wirtualnych w internecie Server API to CGI.

A co jest ustawione znajdziesz w phpinfo

pozdrawiam