[php][mysql]skrypt logowania-kilka pytań, pytania odnośnie tego kodu Opcje

[predator]

Przerobiłem troche znaleziony w internecie kod i wygląda on następująco:

index.php

[PHP] pobierz, plaintext 
<?php
  session_start();
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
 
  if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  function ShowLogin($komunikat=""){
	  echo "$komunikat<br>";
	  echo "<form action='index.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=submit value='Zaloguj!'>";
	  echo "</form>";
	  echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>";
  }
 
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>logowanie</title>
  </head>
  <body>
  <?php
  if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  if($_SESSION["zalogowany"]!=1){
	  if(!empty($login) && !empty($haslo)){
	  {
	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){
 
		   
		  if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($login)."' AND user_haslo = '".htmlspecialchars(md5($haslo))."'"))){
			  echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
			  $_SESSION["zalogowany"]=1;
			  $_SESSION['nick'] = htmlspecialchars($login);
			  } 
			  else echo ShowLogin("zle haslo!!!");
 
			  }
			  else echo ShowLogin("nie dozwolone znaki");
			  }
 
		  }
	  else ShowLogin();
  }
  else{
  ?>
  Zalogowałeś się pomyślnie!
  <br><a href='index.php?wyloguj=tak'>wyloguj się</a>
  <?php
  }
  ?>
 
  </body>
 </html>
  <?php mysql_close(); ?>
[PHP] pobierz, plaintext 

rejestruj.php

[PHP] pobierz, plaintext 
<?php
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
  function ShowForm($komunikat=""){	//funkcja wyświetlająca formularz rejestracyjny
	  echo "$komunikat<br>";
	  echo "<form action='rejestruj.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=hidden value='1' name=send>";
	  echo "<input type=submit value='Zarejestruj'>";
	  echo "</form>";
  }
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>Formularz rejestracyjny</title>
  </head>
  <body>
  <?php
  if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
	  if(!empty($login) && !empty($haslo))	//oraz czy uzupełniono wszystkie dane
 
	  {
	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
 
		  if(mysql_num_rows(mysql_query("select * from users where user_login='".htmlspecialchars($login."'"))))ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
		  else 
		  {
			  mysql_query("insert into users values(NULL, '".htmlspecialchars($login)."', '".htmlspecialchars(md5($haslo))."')"); // zapisywanie rekordu do bazy
			  echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
			  }
			  }
			  else ShowForm("nie dozwolone znaki");
			  }
 
	  else ShowForm("Nie uzupełniono wszystkich pól!!!");
  }
  else ShowForm();
  mysql_close(); //zamykanie połączenia z bazą
  ?>
  </body>
</html>
[PHP] pobierz, plaintext 

1. czy jest ten skrypt bezpieczny? jeśli nie to jakie zmiany proponujecie
2. jak zabezpieczyć najlepiej w md5() hasło do bazy danych?

[PHP] pobierz, plaintext 
<?php
mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
?>
[PHP] pobierz, plaintext 

3. użyłem funkcji preg_match do zabezpieczenia formularza ale działa on tylko dla jednej zmiennej $login lub $haslo:

[PHP] pobierz, plaintext 
<?php
if(preg_match('#^[A-Za-z0-9_-]+$#', $login))
?>
[PHP] pobierz, plaintext 

gdy próbuje napisać tak(by obydwa pola formularza zabezpieczyć, bo co mi da że pole loginu zabezpiecze tylko jeśli w polu hasła można wpisać co sie chce..):

[PHP] pobierz, plaintext 
<?php
if(preg_match('#^[A-Za-z0-9_-]+$#', $login, $haslo))
?>
[PHP] pobierz, plaintext 

to pojawia sie błąd.

jak tego użyć by zabezpieczyć obydwa pola?

PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem...

Ten post edytował predator 16.04.2008, 16:35:51

[erix]

1. Zamiast htmlentities" title="Zobacz w manualu PHP" target="_manual w zapytaniu lepiej użyj mysql_escape_string" title="Zobacz w manualu PHP" target="_manual.
2. Musisz gdzieś podać hasło "surowe", inaczej się nie połączy. Wyłącz raportowanie błędów, postaraj się uniemożliwić dostęp do podglądu źródła skryptu.
3. Poczytaj o preg_match" title="Zobacz w manualu PHP" target="_manual.

[predator]

Poczytaj o preg_match

Szukałem długo jak zrobić, kombinowałem ale nic... I dlatego tu napisałem.

Musisz gdzieś podać hasło "surowe", inaczej się nie połączy. Wyłącz raportowanie błędów, postaraj się uniemożliwić dostęp do podglądu źródła skryptu.

Użyje require() ale gdzie dać ten plik includowany jeśli adres strony z logowaniem to www.jakas_strona.pl/index.php ?

Katalog tego pliku powinien być wyżej niż index.php ale wyżej sie nie da chyba.

Zamiast htmlentities w zapytaniu lepiej użyj mysql_escape_string.

Dlaczego uważasz że takie rozwiązanie lepsze?

PS Wstawiam na początku error_reporting(0); by nie wyświetlało błędów i nie ma reakcji na tę funkcję, errory dalej sie pojawiają.
Wstawiałem na początku przed session_start(), wstawiałem też przed tą linią:

[PHP] pobierz, plaintext 
<?php
if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
?>
[PHP] pobierz, plaintext 

i nie działa

Ten post edytował predator 16.04.2008, 16:37:39

[erix]

Szukałem długo jak zrobić, kombinowałem ale nic... I dlatego tu napisałem.

preg_match" title="Zobacz w manualu PHP" target="_manual za jednym razem może sprawdzać tylko jedną zmienną. Musisz dodać kolejne ify dla kolejnych pól.

Katalog tego pliku powinien być wyżej niż index.php ale wyżej sie nie da chyba.

Da się, jeśli masz po zalogowaniu do ftp masz katalog public_html. Tylko najlepiej posługuj się ścieżkami bezwzględnymi.

Dlaczego uważasz że takie rozwiązanie lepsze?

Poczytaj o SQL Injection.

errory dalej sie pojawiają.

Tzn, jakie?

PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem...

Zamiast tagu [ code] używaj [ php]

Ten post edytował erix 16.04.2008, 15:23:00

[predator]

Da się, jeśli masz po zalogowaniu do ftp masz katalog public_html. Tylko najlepiej posługuj się ścieżkami bezwzględnymi.

Nie mam takiego katalogu . Jak inaczej zabezpieczyć?

Poczytaj o SQL Injection.

Ale po zabezpieczeniu formularza (tak że po wprowadzeniu czego innego niż litery i cyfry zamiast przystępować do logowania pokazuje sie informacja) nie da sie chyba zastosowac SQL Injection.
Bo najpierw jest sprawdzana poprawnosc:

Kod

if(preg_match('#^[A-Za-z0-9_-]+$#', $login))

errory dalej sie pojawiają.

Tzn, jakie?

Np. specjalnie wpisuje więcej znaków } i pojawia sie błąd:

Kod

Parse error:  syntax error, unexpected '}'

a nie powinien przecież po zastosowaniu error_reporting(0);

Może źle coś robie?

Ten post edytował predator 16.04.2008, 16:55:47

[erix]

Nie mam takiego katalogu . Jak inaczej zabezpieczyć?

Jeśli masz dostęp do .htaccess, to za pomocą tego pliku możesz zabezpieczyć.

Ale po zabezpieczeniu formularza (tak że po wprowadzeniu czego innego niż litery i cyfry zamiast przystępować do logowania pokazuje sie informacja) nie da sie chyba zastosowac SQL Injection.

Ach, faktycznie, moje niedopatrzenie. Ale strzeżonego Pan Bóg strzeże... Poza tym, nie masz możliwości wprowadzania innych znaków niż podstawowe ASCII (i to mniej). Więc np. polskie krzaczki odpadają chyba, że to celowe.

Parse error: syntax error, unexpected '}'

Hmm, szczerze mówiąc, nie mam pomysłu, dlaczego tak się dzieje pomimo, że jest ustawione na zero... A innego rodzaju błędy są wypisywane? (np. notice, warning, itp)

[predator]

A innego rodzaju błędy są wypisywane? (np. notice, warning, itp)

Nie wiem jak takie błędy wywołać ale skoro tamten błąd sie pojawił to inne też zapewne sie pojawią.

Tak sie zastanawiam i przecież te polecenia z formularza są najpierw wysyłane do serwera i on je analizuje. Więc w bazie danych nic nikt nie namiesza ale na serwerze chyba może. Trzeba by było po stronie użytkownika sprawdzić najpierw chyba np poprzez java script

Jeśli masz dostęp do .htaccess, to za pomocą tego pliku możesz zabezpieczyć.

nie mam :/

Ale pliku php nie można podejrzeć podobno, tylko jakimiś zapytaniami lub jakoś inaczej. Są też programy do ściągania stron ale one tylko w html'u ściągają? albo sie myle?

Jakich błędów sie wystrzegać by nikt np w swoim skrypcie includując mój index.php nie podejrzał zakładając ze w tym index.php jest hasło?

P.S.
Zastosowałem mysql_escape_string razem z htmlspecialchars. Czy może to tak być?

[PHP] pobierz, plaintext 
<?php
if(mysql_num_rows(mysql_query("select * from users where user_login = '".mysql_escape_string(htmlspecialchars($login))."' AND user_haslo = '".mysql_escape_string(htmlspecialchars(md5($haslo)))."'"))){
			echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
			$_SESSION["zalogowany"]=1;
			$_SESSION['nick'] = mysql_escape_string(htmlspecialchars($login));
			}
?>
[PHP] pobierz, plaintext 

ma ktoś jakiś pomysł?

Ten post edytował predator 16.04.2008, 18:30:51

[erix]

Nie wiem jak takie błędy wywołać ale skoro tamten błąd sie pojawił to inne też zapewne sie pojawią.

Błąd składni uniemożliwia działanie skryptu.

Reszta (notice, warning) nie.

Ale pliku php nie można podejrzeć podobno, tylko jakimiś zapytaniami lub jakoś inaczej. Są też programy do ściągania stron ale one tylko w html'u ściągają? albo sie myle?

Jakich błędów sie wystrzegać by nikt np w swoim skrypcie includując mój index.php nie podejrzał zakładając ze w tym index.php jest hasło?

No, w Twoim wypadku jest OK; IMHO najbezpieczniej trzymać dane autoryzacyjne właśnie w ten sposób - jako parametry funkcji, a nie jako zmienne w jakimś pliku konfiguracyjnym. Można również w taki sposób, ale dodawaj np. usuwanie danych ze zmiennej konfiguracyjnej zaraz po podłączeniu, wyłącz wyświetlanie błędów, a jeśli nie chcesz (czasem się przyda), to utwórz własnego handlera (patrz: set_error_handler" title="Zobacz w manualu PHP" target="_manual i np. loguj je do pliku.

Zastosowałem mysql_escape_string razem z htmlspecialchars. Czy może to tak być?

Do md5" title="Zobacz w manualu PHP" target="_manual nie musisz żadnej funkcji zabezpieczającej stosować, bo ona Ci nie zwróci żadnych znaków, które mogłbyby "popsuć" zapytanie (pomijam przypadek, w którym funkcja byłaby uszkodzona, ale dużo bardziej jest prawdopodobne, że ktoś włamie się na serwer i podejrzy interesujące go pliki). Swoją drogą, nie rozumiem, po co dodatkowo dajesz htmlspecialchars" title="Zobacz w manualu PHP" target="_manual przy zapytaniu. Bardziej kłopotliwe, bo znaki specjalne zamieni na encje (więcej miejsca w bazie; nazbiera się więcej loginów i trochę miejsca zajmie. Fakt, wartości znikome, ale grosik do grosika...).

Ten post edytował erix 20.04.2008, 20:05:05

[pyro]

jezeli serwer bedzie mial wylaczone magic_quotes to nie bedzie ten skrypt(y) zbyt bezpieczny, ja bym dal na poczatku kazdego z tych skrypotow taka linijke:

[PHP] pobierz, plaintext 
<?php
if(!get_magic_quotes_gpc){die("niech to szlag, wylaczone magic quotes ;/");}
?>
[PHP] pobierz, plaintext 

[erix]

http://pl2.php.net/manual/en/function.mysq...tring.php#78753

[Crozin]

index.php:

[PHP] pobierz, plaintext 
<?
  session_start();
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
 
  if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  function ShowLogin($komunikat=""){
	  echo "$komunikat<br>";
	  echo "<form action='index.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=submit value='Zaloguj!'>";
	  echo "</form>";
	  echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>";
  }
 
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>logowanie</title>
  </head>
  <body>
  <?php
  if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  if($_SESSION["zalogowany"]!=1){
	  if(!empty($login) && !empty($haslo)){
		 if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){
			if(mysql_num_rows(mysql_query("select * from users where user_login = '".mysql_real_escape_string($login)."' AND user_haslo = '".md5($haslo)."'"))){
				echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
				$_SESSION["zalogowany"]=1;
				$_SESSION['nick'] = $login;
				mysql_close();
			}else 
						  echo ShowLogin("zle haslo!!!");   
		 }else 
				   echo ShowLogin("nie dozwolone znaki");
	  }echo 
			  ShowLogin("wprowadz login i haslo");			  
  }else{
  ?>
	Zalogowałeś się pomyślnie!
	<br><a href='index.php?wyloguj=tak'>wyloguj się</a>
  <?php
  }
  ?>
 
  </body>
 </html>
[PHP] pobierz, plaintext 

rejestracja.php:

[PHP] pobierz, plaintext 
<?php
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
  function ShowForm($komunikat=""){	//funkcja wyświetlająca formularz rejestracyjny
	  echo "$komunikat<br>";
	  echo "<form action='rejestruj.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=hidden value='1' name=send>";
	  echo "<input type=submit value='Zarejestruj'>";
	  echo "</form>";
  }
  ?>
  <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>Formularz rejestracyjny</title>
  </head>
  <body>
  <?php
  if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
	  if(!empty($login) && !empty($haslo)){	//oraz czy uzupełniono wszystkie dane
		if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
		  if(mysql_num_rows(mysql_query("select * from users where user_login='".mysql_real_escape_string($login)."'")))
					  ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
		  else{
			mysql_query("insert into users values(NULL, '".mysql_real_escape_string($login)."', '".md5($haslo)."')"); // zapisywanie rekordu do bazy
			echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
		  }
		}else 
				  ShowForm("nie dozwolone znaki");
	  }else 
			  ShowForm("Nie uzupełniono wszystkich pól!!!");
  }else 
	  ShowForm();
 
  mysql_close();
  ?>
  </body>
</html>
[PHP] pobierz, plaintext 

A za każdym razem, gdy wyświetlasz login (czy jakieś dane od użytownika) już na stronie - wtedy potraktuje te dane htmlspecialchars" title="Zobacz w manualu PHP" target="_manual()

[predator]

Tak sie zastanawiam i przecież te polecenia z formularza są najpierw wysyłane do serwera i on je analizuje. Więc w bazie danych nic nikt nie namiesza ale na serwerze chyba może.

czy dobrze mówie?
----
właśnie do pliku błędy chciałbym by zapisywało ale co mam wpisać? (nie uczyłem sie w szkole angielskiego i z tej strony nie bardzo rozumiem tych wyjaśnień :/)

Swoją drogą, nie rozumiem, po co dodatkowo dajesz htmlspecialchars przy zapytaniu.

A za każdym razem, gdy wyświetlasz login (czy jakieś dane od użytownika) już na stronie - wtedy potraktuje te dane htmlspecialchars()

te pola (obydwa pętlami zabezpieczyłem) mimo że zabezpieczone to gdyby komuś jakimś cudem udało sie wprowadzić inne znaki niż te dozwolone to wtedy htmlspecialchars zabezpieczy.

jezeli serwer bedzie mial wylaczone magic_quotes to nie bedzie ten skrypt(y) zbyt bezpieczny

a co ktoś może zrobić?

--EDIT--

Kod

'".md5($haslo)."'

nawet gdyby ktoś wpisał coś nie dobrego to md5 itak to zakoduje więc chyba jednak nie potrzebne dodatkowo htmlspecialchars.

Jeśli wpisze w polu input cyfrę: 0 to informuje mnie ze nie wypelnłem wszystkich pól. Jak zrobić by 0 było traktowane nie jako puste pole a znak? Bo zamiast "nie wypełniłeś wszystkich pól" chciałbym by informowało po wprowadzeniu cyfry 0 że nie poprawne dane

}echo
ShowLogin("wprowadz login i haslo");

Crozin. Nie wiem dlaczego ale zamiast echo musze wpisać tu else. Gdy jest echo to jeśli wpisze błędne dane to pojawia sie "złe hasło" a pod formularzem pojawia sie następny formularz "wprowadz login i haslo". Jeśli wpisze inne niż dozwolone znaki to zamiast "nie dozwolone znaki" pojawia sie "wprowadz login i haslo", pod spodem nie pojawia sie następny formularz wtedy.

Przecież jesli sprawdza czy pola puste:

[PHP] pobierz, plaintext 
<?php
if(!empty($login) && !empty($haslo)){
[...]
 }else
			  ShowLogin("wprowadz login i haslo");
?>
[PHP] pobierz, plaintext 

i warunek jest że gdy nie (else) są puste to wypisz "wprowadz login i haslo"

To dlaczego gdy są puste, wyświetla "wprowadz login i haslo"? Przecież powinno wyświetlać tak gdy nie są puste. Z else działa ale nie rozumiem dlaczego.

Ten post edytował predator 21.04.2008, 10:46:23

[erix]

te pola (obydwa pętlami zabezpieczyłem) mimo że zabezpieczone to gdyby komuś jakimś cudem udało sie wprowadzić inne znaki niż te dozwolone to wtedy htmlspecialchars zabezpieczy.

Jak zabezpieczysz przy rejestrowaniu usera (INSERT), to się tam nie dostaną więcej. ;]

No chyba, że w bazie albo w plikach ktoś namiesza.

właśnie do pliku błędy chciałbym by zapisywało ale co mam wpisać? (nie uczyłem sie w szkole angielskiego i z tej strony nie bardzo rozumiem tych wyjaśnień :/)

http://www.google.com/search?client=opera&...-8&oe=utf-8

Jeśli wpisze w polu input cyfrę: 0 to informuje mnie ze nie wypelnłem wszystkich pól. Jak zrobić by 0 było traktowane nie jako puste pole a znak? Bo zamiast "nie wypełniłeś wszystkich pól" chciałbym by informowało po wprowadzeniu cyfry 0 że nie poprawne dane

[PHP] pobierz, plaintext 
<?php
(string)$zmienna
?>
[PHP] pobierz, plaintext 

i warunek jest że gdy nie (else) są puste to wypisz "wprowadz login i haslo"

A wpisywałeś 0 (zero), pusty ciąg, itp?

[predator]

Kod

<?php
(string)$zmienna
?>

nie rozumiem, jak mam tego użyć?

Napisze co chce zrobić. Chciałbym by po wprowadzeniu liczby, skrypt sprawdzał czy jest poprawna, jeśli tak to mógł być wykonywany następny warunek.
Mam taki kod, ale chciałbym więcej liczb zdefiniować a nie tylko 2 i by na 0 reagowało jak na źle wprowadzony kod a nie puste pole (z tym zerem tak jak tu napisałem nie działa ale taki warunek bym chciał zrobić):

Kod

$asd = "0";

[PHP] pobierz, plaintext 
<?php
if($_POST["kod"]=="$asd"){ echo "wpisałeś tylko liczbę 0";}
	else { if($_POST["kod"]== "2"){ tu nastepne warunki }
}
?>
[PHP] pobierz, plaintext 

A wpisywałeś 0 (zero), pusty ciąg, itp?

nic nie wpisywałem i nie powinno sie wyświetlać nic nawet przy uruchomieniu skryptu odrazu też nie powinno jeśli dam else zamiast echo bo przecież nic nie zostało wprowadzone a warunek sprawdza czy pola są puste

Ten post edytował predator 21.04.2008, 15:24:24

[erix]

nie rozumiem, jak mam tego użyć?

Tak, jak pokazałem. empty" title="Zobacz w manualu PHP" target="_manual zwraca true, jeśli wartość jest 0 (zero/false), '' (pusty string), null.

Rzutowanie na stringa zwróci 0 jako ciąg znaków, a nie liczbę, na którą wskazuje false. A używa się tego np. tak:

[PHP] pobierz, plaintext 
<?php
empty((string)$zmienna);
?>
[PHP] pobierz, plaintext 

Mam taki kod, ale chciałbym więcej liczb zdefiniować a nie tylko 2 i by na 0 reagowało

Wszystkie liczby? is_numeric" title="Zobacz w manualu PHP" target="_manual/is_int" title="Zobacz w manualu PHP" target="_manual

To dlaczego gdy są puste, wyświetla "wprowadz login i haslo"? Przecież powinno wyświetlać tak gdy nie są puste. Z else działa ale nie rozumiem dlaczego.

Yyyy, ale po co pole login/hasło, gdy są one podane...?

Wywal wykrzykniki przed empty" title="Zobacz w manualu PHP" target="_manual, to będziesz miał, jak chcesz... Choć nie rozumiem trochę, po co...

[predator]

Choć nie rozumiem trochę, po co...

nie rozumiemy sie chyba dlatego podam linka,
http://www.3xori.yoyo.pl/index.php
wpisz w obydwu polach np. aaaaabbbbbbbbb, później w jednej lub obu wpisz np znaki ;;;;; i zobaczysz że jeśli nie poprawne hasło lub login to pojawia sie pod spodem następny formularz no i właśnie dlaczego on sie tam pojawia (gdy jest echo) nie wiem. Gdy jest else to jest ok ale nie logiczne to troche bo else z tego co wiem wykonuje coś jeśli warunek nie został spełniony czyli jeśli pola nie są puste.

Jeśli wpisze inne niż dozwolone znaki to zamiast "nie dozwolone znaki" pojawia sie "wprowadz login i haslo", pod spodem nie pojawia sie następny formularz wtedy.

teraz jest ok ale tylko to że sie pojawia formularz następny mnie wkurza

Wszystkie liczby?

o to mi chodziło że chciałbym tam kilka liczb np 122, 3, 34 zapisać tak jak hasła ale jeśli wpisze

Kod

if($_POST["kod"]== ("122" or "3" or "34"))

to wtedy cokolwiek nie wpisze to zawsze przechodzi do następnych warunków
--EDIT--

o to mi chodziło że chciałbym tam kilka liczb np 122, 3, 34 zapisać tak jak hasła ale jeśli wpisze

Kod

if($_POST["kod"]== ("122" or "3" or "34"))

to wtedy cokolwiek nie wpisze to zawsze przechodzi do następnych warunków

z tym sobie poradziłem, zaćmienie jakieś miałem przedtem, wystarczyło napisać

Kod

if(($_POST["kod"]== "122") or ($_POST["kod"]== "3") or ($_POST["kod"]== "34") itd

Ten post edytował predator 21.04.2008, 16:53:19

[erix]

teraz jest ok ale tylko to że sie pojawia formularz następny mnie wkurza

Napisałem, wywal wykrzykniki przy empty" title="Zobacz w manualu PHP" target="_manual w tamtym warunku.

o to mi chodziło że chciałbym tam kilka liczb np 122, 3, 34 zapisać tak jak hasła ale jeśli wpisze

[PHP] pobierz, plaintext 
<?php
if($_POST["kod"]=="$asd"){ echo "wpisałeś tylko liczbę 0";}
	else { if($_POST["kod"]== "2"){ tu nastepne warunki }
}
?>
[PHP] pobierz, plaintext 

na:

[PHP] pobierz, plaintext 
<?php
switch($_POST['kod']){
  case 1:
	 //kod "1"
  break;
  case 200:
	 //kod "200"
  break;
  case 102:
	 //kod "102"
  break;
  default:
	//jakiś inny
}
?>
[PHP] pobierz, plaintext 

O to chodzi?

Ten post edytował erix 21.04.2008, 17:00:23

[predator]

nie, nie już poradziłem sobie z tamtym

Napisałem, wywal wykrzykniki przy empty w tamtym warunku.

Po wywaleniu wykrzykników odrazu przy uruchomieniu są 2 formularze

[erix]

[PHP] pobierz, plaintext 
<?php
if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
	  if(!empty($login) && !empty($haslo)){	//oraz czy uzupełniono wszystkie dane
		if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
		  if(mysql_num_rows(mysql_query("select * from users where user_login='".mysql_real_escape_string($login)."'")))
					  ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
		  else{
			mysql_query("insert into users values(NULL, '".mysql_real_escape_string($login)."', '".md5($haslo)."')"); // zapisywanie rekordu do bazy
			echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
		  }
		}else 
				  ShowForm("nie dozwolone znaki");
	  }else 
			  ShowForm("Nie uzupełniono wszystkich pól!!!");
  }else 
	  ShowForm();
?>
[PHP] pobierz, plaintext 

Zakładam, że masz PHP5:

[PHP] pobierz, plaintext 
<?php
try{
 
 if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
	  if(!empty($login) && !empty($haslo)){	//oraz czy uzupełniono wszystkie dane
		if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
		  if(mysql_num_rows(mysql_query("select * from users where user_login='".mysql_real_escape_string($login)."'")))
				throw new Exception('Użytkownik o podanym loginie już istnieje!!!');
		  else{
			mysql_query("insert into users values(NULL, '".mysql_real_escape_string($login)."', '".md5($haslo)."')"); // zapisywanie rekordu do bazy
			echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
		  }
		}else 
			throw new Exception("nie dozwolone znaki");
	  }else 
			throw new Exception("Nie uzupełniono wszystkich pól!!!");
  }else 
	  throw new Exception();
 
}catch(Exception $ex){
	ShowForm($ex->getMessage());
}
?>
[PHP] pobierz, plaintext 

Ten post edytował erix 21.04.2008, 17:21:13

[Mlodycompany]

i jeszcze jedna moja uwaga. Przy wylogowywaniu zamiast $_SESSION["zalogowany"] zmieniac na 0 to zrob session_destroy();