[php]logowanie z sesjami i ciasteczkami, logowanie nie do końca poprawne Opcje

[pentel]

Witam,
Moja strona działa na zasadzie includowania (przykładowy link ?x=home). Przed wysłaniem html i head wstawiłem logowanie. Problem jest właśnie w skrypcie na logowanie. Coś zrobiłem źle :(.

index.php (zostawiłem tylko to, co potrzebne):

[PHP] pobierz, plaintext 
<?php
  include_once 'inc/access.php';
?>
<html>
  <head>
  </head>
  <body>
  <!-- tu includuje sobie strony -->
  <!-- tu mam formularz logowania, który jest zawsze, niezależnie od wybranej podstron
y -->
  </body>
</html>
[PHP] pobierz, plaintext 

access.php:

[PHP] pobierz, plaintext 
<?php
 
  //session_id() = $_COOKIE['PHPSESSID']; //odkomentowane zwraca fatal error :/
  $_SESSION['auth'] = $_COOKIE['auth'];
  $_SESSION['user'] = $_COOKIE['user'];
  $_SESSION['pass'] = $_COOKIE['pass'];
  $_SESSION['level'] = $_COOKIE['level'];
 
  if ( session_id() == '' ){
	 session_start();
	 $formlogin = $_POST['formlogin'];
	 $formpassword = $_POST['formpassword'];
	   $mres_formlogin = mysql_real_escape_string($formlogin);
	   $md5_formpass = md5($formpassword);
	 if (!$formlogin || !$formpassword){
		session_unregister('user');
		session_unregister('pass');
		session_unregister('auth');
		session_unregister('level');
	 }
 
	 $sql = "SELECT * FROM `users` WHERE `login` = '$mres_formlogin'"; // dlaczego jak umieszczam kod w [ php ][ /php ] to skrypt  
	 //dodaje te ''? :/
	 $dbuser = mysql_query($sql);
 
	 $array = mysql_fetch_assoc($dbuser);
	   $userid = $array['id'];
	   $userlogin = $array['login'];
	   $userpassword = $array['password'];
	   $userlevel = $array['level'];
 
	   $md5_dbpass = md5($array['password']);
 
	 if ( (mysql_num_rows($dbuser) == 1) && ($md5_formpass == $md5_dbpass) ){
		$_SESSION['auth'] = true;
		$_SESSION['user'] = $userlogin;
		$_SESSION['pass'] = $md5_dbpass;
		$_SESSION['level'] = $userlevel;
		include_once 'inc/cookie.php';
	 } else {
		session_unregister('user');
		session_unregister('pass');
		session_unregister('auth');
		session_unregister('level');
	 }
  }//end of if session_id
?>
[PHP] pobierz, plaintext 

cookie.php:

[PHP] pobierz, plaintext 
<?php
  setcookie('auth', $_SESSION['auth'], time() + 300);
  setcookie('user', $_SESSION['user'], time() + 300);
  setcookie('pass', $_SESSION['pass'], time() + 300);
  setcookie('level', $_SESSION['level'], time() + 300);
?>
[PHP] pobierz, plaintext 

Jestem np. na stronie blablabla/?x=team i wpisując poprawne dane staję się zalogowany. Problem w tym, że gdy kliknę link do strony np. ?x=home (lub innej podstrony), to po przejściu na tą stronę już nie jestem zalogowany. Czyli jakby sesja nie spełnia swojego zadania. A chcę być zalogowany, aż do wygasnięcia ciasteczka, bądź wylogowania.
Jakieś pomysły? :) Pozdrawiam.

[strife]

Niepotrzebnie w ciasteczku przechowujesz ( jak się domyślam ) wartość odpowiadającą za uprawnienia, ciasteczka można modyfikować i jak widzę, dostęp jako administrator, można uzyskać bardzo łatwo :]

Trochę ten Twój kod jest zagmatwany, użyj konstrukcji takich jak var_export" title="Zobacz w manualu PHP" target="_manual do sprawdzenia czy w tablicy $_SERVER są dane umożliwiąjące rozpoznanie użytkownika, upewnij się.

Dodaj session_start() na początku index.php, może być tak, że sesja nie jest widoczna.

Pozdrawiam.

[pentel]

No to z tymi ciasteczkami dałem ciała

Teraz access.php wygląda tak:

[PHP] pobierz, plaintext 
<?php
  session_start();
 
  $formlogin = $_POST['formlogin'];
  $formpassword = $_POST['formpassword'];
	$mres_formlogin = mysql_real_escape_string($formlogin);
	$md5_formpass = md5($formpassword);
 
  if ( $_SERVER['REQUEST_METHOD'] == 'POST' ){
	 if ($_SESSION['auth'] !== true){
		$_SESSION['user'] = $mres_formlogin;
		$_SESSION['pass'] = $md5_formpass;
	 }
  } else {
	 $_SESSION['user'] = $_COOKIE['user'];
	 $_SESSION['pass'] = $_COOKIE['pass'];
  }
 
	 $sql = "SELECT * FROM `users` WHERE `login` = '" . $_SESSION['user'] . "'";
	 $dbuser = mysql_query($sql);
 
	 $array = mysql_fetch_assoc($dbuser);
	   $userid = $array['id'];
	   $userlogin = $array['login'];
	   $userpassword = $array['password'];
	   $userlevel = $array['level'];
 
	   $md5_dbpass = md5($array['password']);
 
	 if ( (mysql_num_rows($dbuser) == 1) && ($_SESSION['pass'] == $md5_dbpass) ){
		$_SESSION['auth'] = true;
		$_SESSION['user'] = $userlogin;
		$_SESSION['pass'] = $md5_dbpass;
		$_SESSION['level'] = $userlevel;
		include_once 'inc/cookie.php';
	 }
?>
[PHP] pobierz, plaintext 

Zaś cookie.php tak:

[PHP] pobierz, plaintext 
<?php
  if ( isset($formremember) ){ // sesja wygasnie za tydzien
	 setcookie('user', $_SESSION['user'], time() + 7 * 24 * 3600);
	 setcookie('pass', $_SESSION['pass'], time() + 7 * 24 * 3600);
  } else { // sesja wygasnie po zamknieciu przegladarki
	 setcookie('user', $_SESSION['user']);
	 setcookie('pass', $_SESSION['pass']);
  }
?>
[PHP] pobierz, plaintext 

Jakie jeszcze są tu dziury?

Ten post edytował pentel 4.07.2007, 14:08:22

[Dalrin]

Witka,

No tak patrząc na szybko to nie jestem pewien czy to dobrze, że przetrzymujesz w cookie usera i hasło.

Nie ma raczej większego problemu z wyciągnieciem czegoś z pliku cookie i podszycia się pod takiego nieświadomego użytkownika.

Pozdrawiam

--
Dalrin

Ten post edytował Dalrin 24.08.2007, 13:58:49