[php][mysql]Logowanie i sesja Opcje

[wrka123]

Witam wszystkich:)
W php pisze od hmm dopiero 2 tygodni, ale idzie mi dosyć dobrze;)

Na swojej stronie utworzyłem sesję wykorzystując taki kod:

[PHP] pobierz, plaintext 
<?php
 
@session_start();
mysql_connect("localhost","root","");
mysql_select_db("tomek");
 
if(isset($_SESSION['zalogowany'])) {
echo "Witam, ".$_SESSION['login']; 
}else{
 
if(isset($_POST['wyslij'])) {
 
 
   if(mysql_num_rows(mysql_query("SELECT login, haslo
   FROM users WHERE login = '".$_POST['login']."' 
   && haslo = '".$_POST['haslo']."' ")) > 0) {
 
 
	   if(mysql_num_rows(mysql_query("SELECT id FROM users
	   WHERE login = '".$_POST['login']."' 
	   && haslo = '".$_POST['haslo']."' ")) > 0 ) {
 
 
		   $_SESSION['zalogowany'] = true;
		   $_SESSION['login'] = $_POST['login'];
		   $_SESSION['haslo'] = $_POST['haslo'];
		   echo "Jesteś zalogowany<br> Możesz przegladac profile uzytkownikow <a href=userlook.php>tutaj</a><p>";
 
 
	   } else { 
 
   echo "Złe hasło, proszę spróbować ponownie";
}
} else { 
   echo "Nie ma takiego użytkownika, lub podales/as zle haslo";
}
} else { 
 
?>[/code]
A w każdej podstronie, która może być widoczna tylko dla admina tworzyłem coś ta
kiego(jest to system dodawania newsa do bazy):
[code]<?
 
$admin= mysql_query("select * from users where rank=='admin'");
 
If($admin==$_SESSION['login'])
 
echo '<form method=post action=add.php>
Dodawanie newsa do bazy<br>
<textarea name=addnews rows=5 cols=19></textarea><br>
 
<input type=submit value=ok>';
 
 
 
 
mysql_query("insert into tabelka(news) values('$addnews')");
 
 
$newsy=mysql_num_rows(mysql_query("select * from tabelka where news=''"));
 
If($newsy>0)
	mysql_query("delete from tabelka where news=''");
?>
[PHP] pobierz, plaintext 

Wszystko pięknie ładnie, jak zaloguje się na użytkownika, który nie ma rangi amdina to nie może tego zobaczyć- i tak ma być. Niestety wczoraj zauważyłem, że jeśli nie zaloguje się w ogóle to mogę wejść do tego działu! Co muszę dopisać, aby tak nie było? Żeby tylko admin miał dostęp do tego działu i żeby wymagało to logowania?

Jeśli ktoś potrzebuje zobaczyć jak to wygląda to proszę bardzo: http://79.187.194.106/projekt2
Z góry dziękuje za odpowiedź
Pozdrawiam
Tomek

Ten post edytował Cysiaczek 31.12.2007, 12:50:37

Powód edycji: poprawiłem bbcode na [ php ] [/ php ]

[marcio]

Ogolnie jak przechowywujesz w sesji haslo to je koduj za pomoca md5() i dopiero porownuj z baza.
Ogolnie w pliku dla admina nie ma zadnej autoryzacji spradzaj czy zostala wyslalana sesja z login'em i haslem zapisuje w sesji i sprawdzaj tak

[PHP] pobierz, plaintext 
<?php
//tu polaczenie z baza
$query = mysql_query("select * from users where rank=='admin'");
while($tab = mysql_fetch_assoc($query)) {
if($tab['login'] == $_SESSION['login'] && $tab['haslo'] == md5($_SESSION['haslo'])) {
//tu panel admina
}
?>
[PHP] pobierz, plaintext 

Ogolnie to nie wiem jak ci to wytlumaczyc bo masz to jakies dziwne ale idea jest mniej wiecej taka

[wrka123]

- upps
działą odwrtonie- userzy zarejestrowani widzą wszytsko.
Ten kto sie nie zaloguje nie widzi nic- a ptrzebuje, zeby tylko ten co ma range admina to widzial:

Kod

<?php

mysql_connect("localhost","root","");
mysql_select_db("tomek");


$query = mysql_query("select * from users where rank='admin'");
while($tab = mysql_fetch_assoc($query));
if($tab['login'] = $_SESSION['login'] && $tab['haslo'] = md5($_SESSION['haslo'])){

echo "Dodawanie newsa do bazy:<a href=add.php>klik</a><br>
Edycja newsa w bazie:<a href=change.php>klik</a><br>
Usuwanie newsa z bazy:<a href=del.php>klik</a><br>
Masowe kasowanie newsów:<a href=massdel.php>klik</a><br>
Usuwanie użytkowników:<a href=userdel.php>klik</a><br>
Nadawanie rangi administratora:<a href=admingive.php>klik</a><br>
Czyszczenie shoutboxa:<a href=shoutboxclean.php>klik</a><br>
Czyszczenie wyników friendtestu:<a href=friendtestmassdel.php>klik</a><br>";
}

?>

Ten post edytował wrka123 31.12.2007, 13:18:04

[marcio]

No ok teraz moga to widziec tylko zalogowani a ja na twoim miejscu to bym zmienil jedna rzecz tabele dla normalnych user'ow zosta users a dla admina daj admin i wtedy nie bedzie sie mieszac zaden rank.

P.S teraz zobacze dokladniej na kod

P.S2 maja byc 2 = bo porownujesz dane a nie przypisujesz

[PHP] pobierz, plaintext 
<?php
if($tab['login'] == $_SESSION['login'] && $tab['haslo'] == md5($_SESSION['haslo']))
?>
[PHP] pobierz, plaintext 

Ten post edytował marcio 31.12.2007, 13:32:28

[wrka123]

Na pewno jest jakiś sposób na to...

Ten post edytował wrka123 31.12.2007, 14:37:05

[--wrka123--]

Na pewno jest jakiś sposób na to...

Hmm... zauwazylem, że jak loguje w taki sposob:
1.Loguje sie na konto bez admina- pisze nie masz uprawnien admina(wszytko gra),
2.Wylogowuje sie
3 .Loguje sie na konto admina- panel sie wyswietla.
4. wylogowuje sie
5. z powrotem loguje sie na konto bez admina
6. a wtedy co dziwne wyswietla się panel admina!

Może zapisuje się coś w cookiesach?

[marcio]

W cookie sie nic sam z siebie nie zapisuje a ty cookie nie wysylasz wiec jest tylko jedna opcja zle niszczysz sesje po wylogowywaniu pokaz kod odpowiadajacy za wylogowywanie

[--wrka123--]

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['wyloguj'])) {
session_destroy();
echo "<br>Zostałeś wylogowany";
}
?>
<br>
Jeśli jeszcze sie nie zarejestrowałes to kliknij <a href=register.php>tutaj</a>
 
 
 
	</td></tr>
</table>
<input type='submit' value='Wyśloguj' name='wyloguj'>
</form>
<br>
<a href=panel.php>Admin</a>
[PHP] pobierz, plaintext