sesje, logowanie na subdomenach Opcje

[mrm]

próbuje napisać system logowania oparty na subdomenach, zasada działania jest następująca :

internauta wprowadza adres np user1.system.pl

system rozpoznaje użytkownika [user1] i prosi o haslo.

internauta wprowadza hasło, jak prawidłowe to przezuca go do panelu administracyjnego, jak zle to pojawia sie komunikat o blednym hasle

kod php wyglada mniej wiecej tak

[PHP] pobierz, plaintext 
<?php
//sprawdz dane z formularza
		$db_qry = "zzy user 1 jest w bazie ?";
		$db_res = mysql_query( $db_qry );
 
		if ($db_rws > 0) {
		$_SESSION['user_log'] = $userlogin;
 
	}	
		if ($_SESSION['user_log']!=null) {
 
		  header("Location: http://"adres panelu administracyjnego ); [user1.system.pl/admin/account.php
		}
?>
[PHP] pobierz, plaintext 

plik account.php

[PHP] pobierz, plaintext 
<?php
if ($_SESSION['user_log']!="") {
//daj dostep...
}
else {
//nie wpuszczaj...
}
?>
[PHP] pobierz, plaintext 

moj problem to nieautoryzowany dostep, tzn jak sie zaloguje user1 [user1.system.pl --> user1.system.pl/admin/account.php]

to wystarczy wprowadzic adres user2.system.pl/admin/account.php i mamy dostep do konta user2...



z gory dzieki..

[MWL]

Moja rada jest taka, załuż dodatkową sesję przykładowo $_SESSION['site']="SITE" gdzie SITE to nazwa dostepnej strony. następnie za każdym razem sprawdź czy ta sesja istnieje i czy pasuje do obecnej strony. z bani.

dziękuje

[mrm]

Moja rada jest taka, załuż dodatkową sesję przykładowo $_SESSION['site']="SITE" gdzie SITE to nazwa dostepnej strony. następnie za każdym razem sprawdź czy ta sesja istnieje i czy pasuje do obecnej strony. z bani.

dziękuje

nie do końca rozumiem

[cbagov]

uzalezniony od 'subdomeny' -konfig- nie przepusci na inna strone niz zapisana w configu dla danego userX
czyli gdy wszedl na user1. :
wczytany konf.ini ma zapisane user1.system.pl=user1
mechanizm wiec np. definiuje zmienna tymczasowa na login=user1

żądanie -user2.system.pl/admin/account.php- w tym momencie posluguje sie nadal login=user1 i przekierowuje dla formalnosci,
i jesli potrzeba ponownie zaczytuje config.ini (jesli np ma dynamicznie aktualizowane opcje)

czyli tak mniej wiecej jak mowi MWL

[bim2]

Ja bym zrobił inaczej.
Jeśli użytkownik się zaloguje, to zapisujesz

[PHP] pobierz, plaintext 
<?php
$_SESSION[$subdomena] = $userlogin;
?>
[PHP] pobierz, plaintext 

i później jak sprawdzasz to

[PHP] pobierz, plaintext 
<?php
if(isset($_SESSION[$subdomena]))
{
echo 'zalogowany';
}
?>
[PHP] pobierz, plaintext 

[cbagov]

@bim2 to jest inaczej ? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[bim2]

Zrozumiałem, że ty zapisujesz $_SESSION['site'] (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Moim sposobem można zalogować się na kilku subdomenach a twoim tylko na 1, a dokladniej sposobem nie twoim a kolegi MWL

[cbagov]

mylisz sie,
mozna zalogowac na dowolnei ilosci dowolnych sub-subdomen
podalem jedynie bardziej rozbudowany przyklad choc i tak jest to wylacznie szkic