[php][mysql] Sprawdzanie poprawności skryptu Opcje

[Piotrwusek]

mam takie coś i mi wyrzuca że nie moge sie zalogować

laguj.php

[PHP] pobierz, plaintext 
<?
include("config.php");
 
 mysql_connect(HOST, ROOT, PASS) or die ("Nie masz uprawnien");
mysql_select_db(BAZA);
 
$name=$_POST['name'];
$haslo=$_POST['haslo'];
 
 
 
if ($_POST['name'] == '') {
echo "<font color=#ff0000>Podaj nick</font>";
}
 
 
if ($_POST['haslo'] == '') {
echo "<font c
olor=#ff0000>Podaj hasło</font>";
}
 
 
$n = mysql_query ("SELECT name FROM zsp3a_uzytkownik WHERE id=1");
while($row1  = mysql_fetch_assoc($n))
 
 
 
$nn = mysql_query ("SELECT haslo FROM zsp3a_uzytkownik WHERE id=1");
while($row2  = mysql_fetch_assoc($nn))
 
 
 
if ($row1 == $name&&$row2 == $haslo)
 
 {
$_SESSION['name'] = $_POST['name'];
$_SESSION['haslo'] = $_POST['haslo'];
echo "<font color=#000000>Zostałeś zalogowany...</font>";
}
   else
   {
	  echo 'Nie zostałeś zalogowany!';
   }
 
 
 
?>
[PHP] pobierz, plaintext 

formularz.php

[HTML] pobierz, plaintext 
<form name="" action="loguj.php" method="post">
Name: <input type="text" name="name" value="" />
Hasło: <input type="password" name="haslo" value="" />
<input type="submit" value="Zaloguj" />
[HTML] pobierz, plaintext 

w config.php znajduje sie definicja sałych dotyczących łaczności z bazą

Ten post edytował Piotrwusek 13.07.2007, 21:08:21

[UDAT]

sory bo to twój temat ale nie chciałem tworzyć nowego tematu a co ja robie zle

[PHP] pobierz, plaintext 
<?
 mysql_connect(HOST, ROOT, PASS) or die ("Nie masz uprawnien");
mysql_select_db(BAZA);
 
 
 
 
if (isset($submit)) {
if ($_POST['username'] == '') {
echo "<font color=#ff0000>Podaj nick</font>";
}
 
 
if ($_POST['password'] == '') {
echo "<font color=#ff0000>Podaj hasło</font>";
}
 
 
$n = mysql_query ("SELECT name FROM zsp3a_uzytkownik WHERE id=1");
$row1 = mysql_fetch_array($n) or die(mysql_error());
 
$nn = mysql_query ("SELECT haslo FROM zsp3a_uzytkownik WHERE id=1");
$row2 = mysql_fetch_array($nn) or die(mysql_error());
 
$name=$_POST['name'];
$haslo=$_POST['haslo'];
 
if ($row1 == $name&&$row2 == $haslo)
 
 {
$_SESSION['name'] = $_POST['name'];
$_SESSION['haslo'] = $_POST['haslo'];
echo "<font color=#000000>Zostałeś zalogowany...</font>";
}
else {
echo "<font color=#ff0000>Złe Hasło...</font>";
}
 
}
 
?>
 
<form name="" action="index.php" method="post">
Name: <input type="text" name="name" value="" />
Hasło: <input type="password" name="haslo" value="" />
<input type="submit" value="Zaloguj" />
[PHP] pobierz, plaintext 

1. Czym jest zmienna $submit?
2. Zdecyduj się czy masz haslo czy password.
3. Te dwa zapytania można zamienić na jedno.
4. Trzeba było stworzyć nowy temat

No faktycznie usunięcie dolarów pomogło, stronka chyba zatwierdza tylko nic się nie pokazuje. Jeśli chodzi o te nawiasy to nie bardzo wiem gdzie. Próbowałem przenieść tą ostatnią klamrę do 34 lini ale wtedy jest błąd zapytania do bazy. Może jakaś sugestia ?

Dobrze, przenieś nawias do lini 34 a następnie napisz co podaje mysqli_error" title="Zobacz w manualu PHP" target="_manual.
Poza tym twoje zapytanie jest podatne na SQLInjection

[Piotrwusek]

Mógłby ktoś pomóc bo ~UDAT nic nie pomógł

[maziak]

No coz, wiele nie zrobie, ale powtórze Ci to co napisał UDAT w nieco innej formie, bo wylapal chyba wszystkie bledy.

Zmienna $submit na początku, zdaje sie w ogóle nie mieć wartosci.

Nazwa zmiennej w tablicy $_POST jest okreslana przez atrybut name="" formularza. Ty pole formularza odpowiadajacym za haslo (linia 45) nazwales "haslo", a w linii 14 wprawdzasz, czy ustalona jest zmienna "password"(a nie jest, bo jak by miala byc? ).

Zapytanie do bazy, mogles zalatwic w ten sposob

[SQL] pobierz, plaintext 
SELECT name,haslo FROM zsp3a_uzytkownik WHERE id=1
[SQL] pobierz, plaintext 

name i haslo - po przecinku, wtedy jedna zmienna(tablica) odwolywala by sie i do hasla i do nazwy uzytkownika.

Zwoja droga, straszny system logowania. Zwlaszcza to where id=1
A co jak bedziesz mial dwoch uzytkownikow?

Lepiej dac takie zapytanie

[PHP] pobierz, plaintext 
<?php
$haslo=htmlspecialchars($_POST['haslo'])
$name=htmlspecialchars($_POST['name'])
SELECT * FROM zsp3a_uzytkownik WHERE name='".$name."' AND haslo='".$haslo."' ";
?>
[PHP] pobierz, plaintext 

I sprawdzić czy wynik takiego zapytania istnieje, czy ma wiecej niz 0 linijek. Jezeli ma - kombinacja haslo i ID - poprawne. Jezeli nie - niepoprawne.

htmlspecialchars zabezpiecza w pewnym stopniu od SQLInjection.

Oraz szczerze - męczysz się z tym skryptem juz od paru dni, zadajac duzo pytan na ktore odpowiedzi nie trzeba wcale szukać. Wystarczylo by zebyc przerobil pare kursow PHP/MySQL, lub kupil sobie ksiazke (Polecam - PHP i MySQL Vadamecum profesjonalisty - Luke Welling, Laura Thomson). Przerobienie kursow zajmie Ci góra pol dnia, a po przerobieniu ich taki skrypt, w wydaniu duzo bardziej profesjonalnym, zajmie Ci gora - drugie pol