[php] panel administratora, jak to powinno wygladac w php Opcje

[-piotrekCK-]

hej, zaczalem na powaznie uczyc sie php i w momencie zabrania sie za sesje zaczelo nurtowac mnie pewne pytanie wezmy np. ze mamy do napisania panel administracyjny. Na poczatku jest strona z formularzem, na ktorej np. jest

[HTML] pobierz, plaintext 
<form action="go.php" method="post">
[HTML] pobierz, plaintext 

w go.php mamy sprawdzanie hasla, jezeli jest dobre to wyswietlamy panel. i ... no wlasnie.

Taki panel to cos wiecej niz wyswietlenie "hej jestes zalogowany" - a mniej wiecej tyle moglem znalezc w kursach php jakie przeszukalem. To przeciez dosc duzy kod (i dlatego mowilem o sesjach jezeli wszystko znajdowaloby sie nawet w kilku plikach). Czy jedyna metoda jest umieszcanie go w sposob

[PHP] pobierz, plaintext 
<?php
 
		$login=$_POST['login'];
		$haslo=$_POST['password'];
 
		if(md5("$haslo")=='cffe219e4413b95dd8c35u0085930789' AND $login=='piotrek') {
			   echo "<html>"
			   echo "<body> PANEL ADMINISTRACYJNY..."
			  // i tak dalej... 
 
				exit();
		}
 
		else {
				echo("access deniedn");
		}		
?>
[PHP] pobierz, plaintext 

na pewno nie bo to by bylo idiotyczne.

Nie umiescilem tutaj rejestrowania sesji, no ale gdyby, to wygladaloby to tak ze powiedzmy :

jeżeli hasło ok to rejestruj sesje i przejdz to pliku3
a w pliku3 trzeba sprawdzic czy jest zarejestrowana sesja i dalej if / else php wiec umieszczanie kodu panelu w php identycznie by wygladalo :/

Na pewno jest jakies rozwiazanie inne, sciagalem darmowe skrypty do newsow i przegladalem jak tam jest rozwiazane to wszystko, ale niestety bylo to tak juz rozbudowane ze jako poczatkujaca osoba w php nie moglem sie polapac

pozdrawiam i dziekuje za poswiecony czas i uwage !

[macza]

ja uważam że sesje są najlepszym rozwiązaniem.
chcesz zeba napisac jak ich sie uzywa i jak sprawdzic czy jest zarejestrowana?

[-piotrekCK-]

nie, nie o to mi chodzi nie zrozumiales, albo ja zle napisalem.
Jezeli uzyjemy sesji tak jak mowisz to trzeba sprawdzic czy jest ona zarejestrowana. wiec wychodzi nam np.

[PHP] pobierz, plaintext 
<?php
 
session_start();
if($_SESSION['zalogowany']) {
  echo "zalogowany";
 }
 
else {
 echo "nic z tego...";
}
 
?>
[PHP] pobierz, plaintext 

i widzisz - to wyswietla tylko "zalogowany". a jezeli chcielibysmy tam dac kod panelu administratora na 100 linijek w HTML to przeciez nie bedziemy ich umieszczac w echo "". (chyba).
no bo jezeli uzywamy sesji to wiadomo ze uzywamy php i struktury if/else. a jezeli tak to nie mozemy dopisac tam "tak po prostu" kodu html. ale echo"". wiec przy wiekszych objetosciowo kodach panelu admina wychodzi nam dziwolag (o ile w ogole to sie bedzie dalo napisac ).
i czy nie ma innej metody jak to if (...) else
Chyba teraz bedzie wiadomo o co mi chodzi

[Jarod]

@piotrekCK: w czym proble? zamiast echo dajesz include 'plik_z_panelem_administratora.php';

[-Gość-]

no widzisz- jest problem

bo kiedy uzywamy include("plik_z_panelem.php");
to ktos moze wejsc sobie po prostu serwer.pl/panel/plik_z_panelem.php i nie ma sensu zeby podawal haslo, bo panel dostanie jak na raczce, Prawda taka ze musi wyczaic nazwe pliku, ale przeciez nie jest to niewykonalne.

no chyba ze w plik_z_panelem.php dasz znowu sprawdzanie sesji - ale wtedy bedziemy znow w punkcie wyjscia

[Jarod]

Ja rozwiązałem to tak, że napisałem funkcje weryfikuj. Jest ona dołączana, np w panelu na początku skryptu i wygląda mniej więcej tak:

[PHP] pobierz, plaintext 
<?php
 
	//JEŚLI NIE ISTNIEJE SESJA UŻYTKOWNIKA TO POWRÓT NA STRONĘ LOGOWANIA
	if ( (!isset($_SESSION['LOGIN'])) && (!isset($_SESSION['HASLO'])) )
	{
		?>
		<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
		<html xmlns="http://www.w3.org/1999/xhtml" lang="pl" xml:lang="pl">
 
		<head> 
			<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
			<meta http-equiv="Content-language" content="pl" />
			<meta name="Description" content="..." />
			<meta name="Author" content="J4r0d" />
			<meta name="Robots" content="all" />
			<meta name="Pragma" content="no-cache" />
			<meta name="Cache-Control" content="no-store, no-cache, must-revalidate" />	  
 
			<title>DOSTĘP WZBRONIONY</title>
 
			<!-- dołączenie styli głównych -->	  
			<link rel="stylesheet" href="../css/autoryzacja.css" type="text/css" />
		</head>
 
			<body>
 
				<div id="log" style="padding: 10px; background-color: #FFFFFF; height: 85px;">
					<img style="float: left; margin: 0 0 0 30px;" src="../img/stop.gif" width="83px" height="83px" alt="Stop" name="Stop" border="0" />
					<div class="ostrzezenie" style="margin: 25px 0 0 25px; padding: 10px; text-align: center; font-size: 11px; font-weight: bold; float: left;" >
						Nie masz uprawnień !
					</div>
				</div>			
 
			</body>
 
		</html>
		<?php
		echo "<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>";
		exit();
	}
 
?>
[PHP] pobierz, plaintext 

To spowoduje , że trzeba być zalogowanym, żeby załadować bezpośrednio napel.php. A dodatkowo sprawdzasz czy zalogowany użytkownik ma prawa administratora.

pozdrawiam

[-piotrekCK-]

aaa widzisz

bo wszystko obracalo sie wokol tego, ze nie wiedzialem jak przejsc z php do html a potem wrocic do niego

ogolnie o to sie rozchodzilo:

[PHP] pobierz, plaintext 
<?php
if(costam) { 
?>
 
---kod html---
 
<?php 
}
?>
[PHP] pobierz, plaintext 

dziekuje bardzo

[-Gość-]

Ogolnie to nie problem zbyt duzy:

Masz plik go.php i panel.php
w go.php sprawdzasz :

[PHP] pobierz, plaintext 
<?php
$login=$_POST['login'];
$haslo=$_POST['password'];
if(md5("$haslo")=='cffe219e4413b95dd8c35u0085930789' AND $login=='piotrek') { 
   $_SESSION['login']=$login; 
   $_SESISON['haslo']=$haslo; 
   include ("./panel.php"); 
}
else {
   echo("access deniedn");
}
?>
[PHP] pobierz, plaintext 

A zeby nikt nie powolany dostal sie do pliku panel.php wywolujac go z przegladarki mozesz zrobic tak :

[PHP] pobierz, plaintext 
<?php
if (!isset($_SESSION['login'] && !isset($_SESSION['haslo'])) {
   header ('Location : ./go.php'); 
   die(); 
} 
// juz nie musisz dawac else bo jak przejdzie powyzszego ifa to znaczy ze logowani
e poprawne. Jezeli nie, to czesc ponizej juz nie zostanie wyswietlona, bo zostani
esz znow przeniesiony na strone go.php
echo "Witaj w Panelu Admina";
?>
[PHP] pobierz, plaintext 

[-piotrekCK-]

hm nie jestem pewien czy ostatni zaprezentowany sposob jest prawidlowy.

Zobacz-on sprawda tylko czy są zarejestrowane te zmienne sesyjne (tak to nazwac?).

wlasciwie to czy NIE są

bo jezeli nie sa - powrot na strone glowna.
a jezeli sa wyswietla sie panel.

tylko teraz, czy to ze jakies zmienne sa zarejestrowane swiadczy o tym, ze podano dobre haslo no niekoniecznie. zakladajac nawet ze plik z panelem logowania zaklada sesje tylko wtedy kiedy podany login i haslo sa ok, to przeciez do pliku z panelem mozna dojsc z jakiegokolwiek innego pliku na tym samym serwerze, jezeli tylko stworzymy sobie sesje (a moze nawet po prostu przez phpessid=? - tego nie jestem pewien ) jedyne zastrzezenie to ze trzeba wiedziec ze te 'zmienne sesyjne' nazywaja sie login i haslo ;>

trzeba by jeszcze ich wartosc chyba sprawdzac ?

[raf_gc]

wystarczy w pliku panel.php sprawdzić identyfikator sesji, który trzeba podac w pasku adresu np:
go.php?sid="identyfikator sesji"; i problem nieautoryzowanym dostępem z głowy