Forum PHP.pl

Forum PHP.pl > Forum > PHP

Problem z sesją w PHP - Nie mogę się odnieść do id użytkownika

Baku12345 Zobacz profil	20.09.2016, 06:12:41 Post #1
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	Witam Działanie mojego skryptu ma być proste, ma polegać na tym, że po zalogowaniu się danego użytkownika wyświetli mu się lista kursów ze statusami do których ma dostęp a do których nie. Mam w bazie między innymi takie tabele jak: - users (id, name, login, password) - tabela przechowuje dane użytkownika - courses (id, lp, name, url, category_id) - tabela przechowuje kursy, linki do nich i id kategorii do jakiej należy dany kurs - access_courses (id, id_user, id_course, status) - tabela przechowuje informacje który użytkownik ma dostęp do którego kursu i wyświetla odpowiedni status To mi działa w połączeniu z kodem, który sobie napisałem, ale problem jest w linii 75. Dokładnie w zapytaniu [SQL] pobierz, plaintext SELECT * FROM courses c, access_courses ac WHERE ac.id_user = $_SESSION['id'] && ac.id_course = c.id ORDER BY lp ASC [SQL] pobierz, plaintext Jeżeli to wstawię to jest problem, natomiast jeżeli wstawię na sztywno id użytkownika np. tak [SQL] pobierz, plaintext SELECT * FROM courses c, access_courses ac WHERE ac.id_user = 1 && ac.id_course = c.id ORDER BY lp ASC [SQL] pobierz, plaintext to wszystko jest idealnie. Jednak tak jak wspomniałem będzie więcej użytkowników i id chcę pobierać z sesji. Poniżej umieszczam swój fragment kodu. Proszę o przeanalizowanie go i podpowiedź jak to naprawić. [PHP] pobierz, plaintext <?php . . // tu nieistotny fragment kodu . if (isset($_POST['login']) && isset($_POST['password'])) { if (!empty($_POST['login']) && !empty($_POST['password'])) { $login = addslashes(strip_tags($_POST['login'])); $password = addslashes(strip_tags(md5($_POST['password']))); $stmt = $pdo->prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';"); $stmt->execute(); if ($row = $stmt->fetchAll(PDO::FETCH_ASSOC)) { $_SESSION['id'] = $row['id']; $_SESSION['online'] = 1; $_SESSION['time'] = time(); $_SESSION['user'] = $login; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; } else { $logon = new cTemplate; $logon->assign['msg'] = "podałeś błędny login lub hasło!<br>spróbuj ponownie"; $page->assign['container'] = $logon->parse("templates/logon.html"); $page->assign['title'] = "Logowanie"; $main->assign['page'] = $page->parse("templates/page.html"); echo $main->parse("templates/index.html"); exit; } } else { $logon = new cTemplate; $logon->assign['msg'] = "nie wprowadziłeś wszystkich danych<br>spróbuj ponownie"; $page->assign['container'] = $logon->parse("templates/logon.html"); $page->assign['title'] = "Logowanie"; $main->assign['page'] = $page->parse("templates/page.html"); echo $main->parse("templates/index.html"); exit; } } if (isset($_SESSION['online']) && isset($_SESSION['time']) && $_SESSION['user'] && ($_SESSION['online']===1)) { if (time()-$_SESSION['time'] < 900) { $_SESSION['time'] = time(); if (!isset($_GET['action'])) { $_GET['action'] = ""; } . . // tu nieistotny fragment kodu . switch ($_GET['action']) { default: if (isset($_GET['cat_id'])) { $cat_id = $_GET['cat_id']; $stmt = $pdo->prepare("SELECT * FROM courses c, access_courses ac WHERE ac.id_user = 1 && ac.id_course = c.id && c.category_id = $cat_id ORDER BY lp ASC"); $stmt->execute(); } else { $stmt = $pdo->prepare("SELECT * FROM courses c, access_courses ac WHERE ac.id_user = $_SESSION['id'] && ac.id_course = c.id ORDER BY lp ASC"); $stmt->execute(); } . . // tu fragment wyświetlający listę kursów dostępnych dla danego użytkownika . } $page->assign['container'] = $panel->parse("templates/panel.html"); } else { $logon = new cTemplate; $logon->assign['msg'] = "przekroczono czas bezczynnoĹ›ci<br>zaloguj siÄ™ ponownie"; $page->assign['container'] = $logon->parse("templates/logon.html"); $page->assign['title'] = "Logowanie"; } } else { $logon = new cTemplate; $logon->assign['msg'] = "<br>podaj login i hasĹ‚o<br>"; $page->assign['container'] = $logon->parse("templates/logon.html"); $page->assign['title'] = "Witaj na portalu"; } $main->assign['page'] = $page->parse("templates/page.html"); echo $main->parse("templates/index.html"); ?> [PHP] pobierz, plaintext Wydaje mi się że problem może być z tym że sesja nie jest globalna, ale może się mylę. Proszę o pomoc. Z góry bardzo dziękuję.

Start new topic

Odpowiedzi (1 - 17)

viking Zobacz profil	20.09.2016, 06:28:54 Post #2
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Twój kod w tym miejscu: [PHP] pobierz, plaintext $stmt = $pdo->prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';"); [PHP] pobierz, plaintext Jest totalnie beznadziejny. Czytałeś dokumentację? Twoje zapytanie nie jest bezpieczne i mija się z celem takie używanie prepare. Usuwanie znaków z hasła też specjalnie mądre nie jest. Ach, i jeszcze md5. Poważnie? Czasy PHP4 już dawno minęły. Teraz się używa http://php.net/manual/en/function.password-hash.php Co zwraca $_SESSION['id'] przed tym zapytaniem? Ten post edytował viking 20.09.2016, 06:48:16 -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

Baku12345 Zobacz profil	20.09.2016, 20:20:07 Post #3
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	Dzięki za sugestię dotyczącą tego logowania, poczytam. Co do tego co zwraca session['id'], to zakomentowałem wszystko co znajduje się w default i wstawiłem tylko linijkę [PHP] pobierz, plaintext $panel->assign['content'] = "$_SESSION['id']"; [PHP] pobierz, plaintext Po uruchomieniu skryptu wystąpił komunikat błędu [PHP] pobierz, plaintext Parse error: syntax error, unexpected '' (T_ENCAPSED_AND_WHITESPACE), expecting identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING) in C:\Xampp\htdocs\www\test\index.php on line 87 [PHP] pobierz, plaintext Kiedy wstawię linijkę bez cudzysłowia [PHP] pobierz, plaintext $panel->assign['content'] = $_SESSION['id']; [PHP] pobierz, plaintext to strona ładuje się prawidłowo, ale w zmiennej sesji nie wyświetla się nic, tak jakby nie przyszła.

viking Zobacz profil	20.09.2016, 20:28:49 Post #4
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	var_dump($_SESSION['id']); -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

kpt_lucek Zobacz profil	20.09.2016, 20:56:02 Post #5
Grupa: Zarejestrowani Postów: 428 Pomógł: 77 Dołączył: 10.07.2011 Skąd: Warszawa Ostrzeżenie: (0%)	Głupie pytanie... A dajesz: [PHP] pobierz, plaintext session_start(); [PHP] pobierz, plaintext -------------------- Cytat There is a Bundle for that Lukas Kahwe Smith - October 31th, 2014

Baku12345 Zobacz profil	20.09.2016, 23:25:41 Post #6
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	Tak session_start daję Skróciłem jeszcze bardziej swój kod i lekko przerobiłem, co by jeszcze bardziej zawęzić problem i żeby każdy mógł go przetestować. Teraz wygląda on tak Skrócona wersja mojego kodu [PHP] pobierz, plaintext <?php session_start(); $pdo = new PDO('mysql:host=localhost; port=3306; dbname=test', 'root', ''); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdo->exec("SET NAMES 'utf8'"); if (isset($_POST['login']) && isset($_POST['password'])) { if (!empty($_POST['login']) && !empty($_POST['password'])) { $login = addslashes(strip_tags($_POST['login'])); $password = addslashes(strip_tags(md5($_POST['password']))); $stmt = $pdo->prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';"); $stmt->execute(); if ($row = $stmt->fetchAll(PDO::FETCH_ASSOC)) { $_SESSION['id'] = $row['id']; $_SESSION['online'] = 1; $_SESSION['time'] = time(); $_SESSION['user'] = $login; } else { echo "Podałeś błędny login lub hasło"; exit; } } else { echo "Nie wprowadzłeś wszystkich danych"; exit; } } if (isset($_SESSION['id']) && isset($_SESSION['online']) && isset($_SESSION['time']) && $_SESSION['user'] && ($_SESSION['online']===1)) { if (time()-$_SESSION['time'] < 900) { $_SESSION['time'] = time(); if (!isset($_GET['action'])) { $_GET['action'] = ""; } switch ($_GET['action']) { default: var_dump($_SESSION['id']); break; } } else { echo "Przekroczono czas bezczynności"; } } else { echo "<h1>Panel Użytkownika</h1> <form method='post' action=''> <div> <input type='text' name='login' placeholder='Twój login' value=''> </div> <div> <input type='password' name='password' placeholder='Twoje hasło' value=''> </div> <button type='submit'>Zaloguj się</button> </form>"; } ?> [PHP] pobierz, plaintext Do panelu nie da się zalogować, ponieważ nie przychodzi id. Wartość id to null. Widać to kiedy w linii 39 zamiast [PHP] pobierz, plaintext isset($_SESSION['id']) [PHP] pobierz, plaintext wstawimy [PHP] pobierz, plaintext !isset($_SESSION['id']) [PHP] pobierz, plaintext Wtedy się zalogujemy a var_dump zwróci NULL. W czym problem?

kpt_lucek Zobacz profil	20.09.2016, 23:47:03 Post #7
Grupa: Zarejestrowani Postów: 428 Pomógł: 77 Dołączył: 10.07.2011 Skąd: Warszawa Ostrzeżenie: (0%)	Zrób print_r/var_dump z $row = $stmt->fetchAll(PDO::FETCH_ASSOC) -------------------- Cytat There is a Bundle for that Lukas Kahwe Smith - October 31th, 2014

Baku12345 Zobacz profil	21.09.2016, 04:10:24 Post #8
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	Wprowadziłem chwilowo taki kod pomiędzy default a break [PHP] pobierz, plaintext default: var_dump($_SESSION['id']); var_dump($_SESSION['online']); var_dump($_SESSION['time']); var_dump($_SESSION['user']); echo "<br>----------------------------------<br>"; print_r ($row = $stmt->fetchAll(PDO::FETCH_ASSOC)); break; [PHP] pobierz, plaintext Wynik w przeglądarce taki [HTML] pobierz, plaintext Notice: Undefined index: id in C:\Xampp\htdocs\www\test\index.php on line 21 NULL int(1) int(1474426757) string(7) "Testowy" ---------------------------------- Array ( ) [HTML] pobierz, plaintext PS: Oczywiście, żeby w ogóle zobaczyć jakiekolwiek wyniki pomiędzy default a break to musiałem na chwilę zmienić [PHP] pobierz, plaintext isset($_SESSION['id']) [PHP] pobierz, plaintext na [PHP] pobierz, plaintext !isset($_SESSION['id']) [PHP] pobierz, plaintext bo to z nim mam cały czas problem. Ten post edytował Baku12345 21.09.2016, 04:17:04

Star Zobacz profil	21.09.2016, 05:29:27 Post #9
Grupa: Zarejestrowani Postów: 294 Pomógł: 34 Dołączył: 16.02.2015 Ostrzeżenie: (0%)	W jakim celu dajesz tutaj średnik? Nie mam na myśli tego na końcu tylko tego przed ostatnim cudzyslowiem - > [PHP] pobierz, plaintext prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';"); [PHP] pobierz, plaintext Może to jest przyczyną błędu Ten post edytował Star 21.09.2016, 05:30:30

viking Zobacz profil	21.09.2016, 07:05:03 Post #10
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	To teraz jeszcze var_dump($row). fetchAll zwraca tablicę a nie pojedynczy rekord. -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

daro0 Zobacz profil	21.09.2016, 09:20:32 Post #11
Grupa: Zarejestrowani Postów: 88 Pomógł: 12 Dołączył: 17.09.2014 Skąd: Krasnystaw Ostrzeżenie: (0%)	No rozpacz [PHP] pobierz, plaintext <?php session_start(); $now = time(); $session_key = 'auth_user'; if ($_SERVER['REQUEST_METHOD'] == 'POST') { $host = 'localhost'; $dbname = 'mojabaza'; $user = 'root'; $passwd = 'root'; $dsn = 'mysql:host='. $host . '; dbname=' . $dbname; $pdo = new PDO($dsn, $user, $passwd); //akurat taka sól jest użyta w celu hashowania hasła w mojej testowej bazie $salt = 'gj5PxmUt8CAbcnS2'; $login = $_POST['login']; //test na PHP 5.4 (tam nie ma password_hash :-) ) $password = hash_hmac('sha256', $_POST['password'], $salt); //akurat takie pola mam w bazie czyli username i password jako SHA-256 $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password"); $stmt->execute(array(':username' => $login, ':password' => $password)); if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) { $session_data = array( 'time' => $now, 'user' => $row ); $_SESSION[$session_key] = $session_data; } else { echo "Blad logowania"; exit; } } $max_idle_time = 30; // czy nie wystarczy tylko sprawdzanie po tym if (isset($_SESSION[$session_key]) && !empty($_SESSION[$session_key])) { if ($now - $_SESSION[$session_key]['time'] < $max_idle_time) { $_SESSION[$session_key]['time'] = $now; echo "Jestes zalogowany"; } else { echo "Przekroczono czas bezczynnosci"; session_destroy(); } } else { echo '<h1>Panel Uzytkownika</h1> <form method="post" action=""> <div> <input type="text" name="login" placeholder="Twoj login" value=""> </div> <div> <input type="password" name="password" placeholder="Twoje haslo" value=""> </div> <button type="submit">Zaloguj sie</button> </form>'; } ?> [PHP] pobierz, plaintext Testowałem to na jednej ze swoich baz na localhoście, Ty musisz dostosować (pola), jak i hasła (sposób hashowania) do swojej. Ten post edytował daro0 21.09.2016, 09:29:43

kpt_lucek Zobacz profil	21.09.2016, 13:00:06 Post #12
Grupa: Zarejestrowani Postów: 428 Pomógł: 77 Dołączył: 10.07.2011 Skąd: Warszawa Ostrzeżenie: (0%)	Cytat(viking @ 21.09.2016, 08:05:03 ) To teraz jeszcze var_dump($row). fetchAll zwraca tablicę a nie pojedynczy rekord. Pisałem o tym wyżej Autor tematu widać nie do końca złapał o co chodzi -------------------- Cytat There is a Bundle for that Lukas Kahwe Smith - October 31th, 2014

Baku12345 Zobacz profil	22.09.2016, 06:52:05 Post #13
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	Dziękuję Wam wszystkim za odpowiedzi, wcześniej nie miałem czasu odpisać. Udało mi się wreszcie poprawić ten kod, głównie dzięki zmianom wprowadzonym na podstawie skryptu daro0. Nie była to wina średnika na końcu zapytania, jak sugerował Star, choć faktycznie był zbędny Co do tego co zwracał var_dump($row) to zwracał wszystko co trzeba było czyli [HTML] pobierz, plaintext Notice: Undefined index: id in C:\Xampp\htdocs\www\test\index.php on line 23 Notice: Undefined index: name in C:\Xampp\htdocs\www\test\index.php on line 25 array(1) { [0]=> array(4) { ["id"]=> string(1) "1" ["name"]=> string(12) "Użytkownik1" ["login"]=> string(7) "Testowy" ["password"]=> string(32) "f86bdb19deb2c5ab632734b8d884ce06" } } [HTML] pobierz, plaintext no może bez tego notice tego nie trzeba było Dlatego się dziwiłem, bo w tablicy id i name było a warunek nie był spełniony co skutkowało tym, że nie można się było zalogować i żeby zobaczyć co wyświetla var_dump to musiałem zmienić [PHP] pobierz, plaintext isset($_SESSION['id']) [PHP] pobierz, plaintext na [PHP] pobierz, plaintext !isset($_SESSION['id']) [PHP] pobierz, plaintext i się okazywało, że jednak id przyszło Ogólnie to mógłbym już dać wszystkim pomógł i można by zamknąć temat, ale dalej nie wiem co było przyczyną tych problemów w tamtej wersji mojego uproszczonego kodu. Czy mógłby mi ktoś wyjaśnić? Stara wersja zawierała [PHP] pobierz, plaintext if ($row = $stmt->fetchAll(PDO::FETCH_ASSOC)) { $_SESSION['id'] = $row['id']; $_SESSION['time'] = time(); $_SESSION['user'] = $row['name']; } [PHP] pobierz, plaintext oraz [PHP] pobierz, plaintext if (isset($_SESSION['id']) && isset($_SESSION['time']) && isset($_SESSION['name'])) { if (time()-$_SESSION['time'] < 900) { $_SESSION['time'] = time(); var_dump($row); } } [PHP] pobierz, plaintext Nowa wersja zawiera [PHP] pobierz, plaintext $sessionauth = ""; [PHP] pobierz, plaintext oraz [PHP] pobierz, plaintext if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) { $x = array('id' => $row['id'], 'time' => time(), 'user' => $row['name']); $_SESSION[$sessionauth] = $x; } [PHP] pobierz, plaintext i to [PHP] pobierz, plaintext if (isset($_SESSION[$sessionauth]) && !empty($_SESSION[$sessionauth])) { if (time()-$_SESSION[$sessionauth]['time'] < 900) { $_SESSION[$sessionauth]['time'] = time(); var_dump($row); } else { echo "Przekroczono czas bezczynności"; } } [PHP] pobierz, plaintext I to działa. W czym więc był problem?? Ten post edytował Baku12345 22.09.2016, 06:58:18

viking Zobacz profil	22.09.2016, 07:09:18 Post #14
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Chyba czytasz co się do ciebie pisze? Cytat array(1) { [0]=> array(4) { ["id"]=> string(1) "1" ["name"]=> string(12) "Użytkownik1" ["login"]=> string(7) "Testowy" ["password"]=> string(32) "f86bdb19deb2c5ab632734b8d884ce06" } } Masz tutaj tablicę. [PHP] pobierz, plaintext $_SESSION['id'] = $row[0]['id']; [PHP] pobierz, plaintext Fetch zwraca już pojedynczy rekord stąd jest dobrze. Jeszcze strzelam że zapewne brakuje ci kluczy (np unikalnego na login), oraz mógłbyś dodać LIMIT w zapytaniu. -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

Baku12345 Zobacz profil	22.09.2016, 21:50:17 Post #15
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	A no faktycznie głupi błąd, powinienem był pobrać tylko jeden wiersz spełniający warunek czyli wstawić [PHP] pobierz, plaintext $_SESSION['id'] = $row[0]['id']; $_SESSION['user'] = $row[0]['name']; [PHP] pobierz, plaintext zamiast [PHP] pobierz, plaintext $_SESSION['id'] = $row['id']; $_SESSION['user'] = $row['name']; [PHP] pobierz, plaintext Poza tym błąd miałem w warunku pobierałem [PHP] pobierz, plaintext if (isset($_SESSION['id']) && isset($_SESSION['time']) && isset($_SESSION['name'])) [PHP] pobierz, plaintext zamiast [PHP] pobierz, plaintext if (isset($_SESSION['id']) && isset($_SESSION['time']) && isset($_SESSION['user'])) [PHP] pobierz, plaintext Dzięki wszystkim za podpowiedzi, teraz działają mi już obie wersje skryptu Mam jeszcze tylko jedno ostatnie pytanko odnośnie Usuwanie znaków z hasła też specjalnie mądre nie jest. Teraz mój kod w części odpowiadającej za logowanie wygląda tak [PHP] pobierz, plaintext if (isset($_POST['login']) && isset($_POST['password'])) { if (!empty($_POST['login']) && !empty($_POST['password'])) { $login = addslashes(strip_tags($_POST['login'])); $password = hash_hmac('sha256', $_POST['password'], '2NYbH5qS8J'); $stmt = $pdo->prepare("SELECT * FROM users WHERE login = :login && password = :password"); $stmt -> execute(array(':login' => $login, ':password' => $password)); if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) { $_SESSION[$session_data] = array('id' => $row['id'], 'time' => $now, 'user' => $row['name']); } else { echo "Podałeś błędny login lub hasło"; exit; } } else { echo "Nie wprowadzłeś wszystkich danych"; exit; } } [PHP] pobierz, plaintext Czy teraz jest już ok, w sensie bezpiecznie? Czy addslashes i strip_tags przy loginie jest uzasadnione czy może pominąć? I podobne pytanie przy haśle czy dodać addslashes? A jeśli tak to w takiej formie [PHP] pobierz, plaintext addslashes(hash_hmac('sha256', $_POST['password'], '2NYbH5qS8J')); [PHP] pobierz, plaintext czy takiej [PHP] pobierz, plaintext hash_hmac('sha256', addslashes($_POST['password']), '2NYbH5qS8J'); [PHP] pobierz, plaintext Jeszcze raz dzięki za odpowiedzi, to już ostatnie moje pytanie w tym temacie Ten post edytował Baku12345 23.09.2016, 05:55:39

daro0 Zobacz profil	23.09.2016, 06:55:09 Post #16
Grupa: Zarejestrowani Postów: 88 Pomógł: 12 Dołączył: 17.09.2014 Skąd: Krasnystaw Ostrzeżenie: (0%)	No to sobie sprawdź co Ci wypluje hash_hmac, bez względu na to jakie hasło wpiszesz i bez względu na to jak je obrabiasz w PHP. W przypadku SHA-256 będzie to coś tego typu: e9f379a548dc29a242759944decc45702cbbb000f65b163e46ca7ae210161df2 I zawsze będzie miało długość 64 znaków tylko te literki i cyferki będą inne. Będziesz kombinował to się nawet nie zalogujesz, bo to co porównujesz będzie inne. No i w tym przypadku nawet jak gdzieś tam zmienisz sól a masz hasła zapisane na poprzednią, to też już się nie zalogujesz.

Baku12345 Zobacz profil	23.09.2016, 20:37:53 Post #17
Grupa: Zarejestrowani Postów: 46 Pomógł: 1 Dołączył: 23.04.2011 Ostrzeżenie: (0%)	To wiem, że zawsze po obrobieniu hasła, zmianie soli czy kodu odpowiedzialnego za hashowanie te znaki się zmienią i zmieniając to muszę potem do bazy wstawić nowe zahashwane hasło. Tutaj bardziej chodziło mi o bezpieczeństwo skryptu, bazy i formularzy, bo viking napisał w drugim poście "Usuwanie znaków z hasła też specjalnie mądre nie jest.", a ja dodałem addslashes i strip_tags żeby uniemożliwić wprowadzenie i wykonanie ewentualnego złośliwego kodu. Kiedyś się uczyłem, żeby tak robić, ale wtedy nie używałem PDO. Z tąd to pytanie czy dodawać to do loginu i hasła czy nie, a jak tak to w jakiej formie tej pierwszej czy drugiej.

daro0 Zobacz profil	24.09.2016, 06:16:49 Post #18
Grupa: Zarejestrowani Postów: 88 Pomógł: 12 Dołączył: 17.09.2014 Skąd: Krasnystaw Ostrzeżenie: (0%)	No cóż, z tego co widać to nie takie proste... http://stackoverflow.com/questions/134099/...t-sql-injection Może się ktoś do tego odnieść?

« Następny starszy · PHP · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 20.08.2025 - 09:14

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn