Forum PHP.pl > [php][mysql]Logowanie i sesja

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [php][mysql]Logowanie i sesja

wrka123

31.12.2007, 12:19:04

Witam wszystkich:)
W php pisze od hmm dopiero 2 tygodni, ale idzie mi dosyć dobrze;)

Na swojej stronie utworzyłem sesję wykorzystując taki kod:

[PHP] pobierz, plaintext 
<?php
 
@session_start();
mysql_connect("localhost","root","");
mysql_select_db("tomek");
 
if(isset($_SESSION['zalogowany'])) {
echo "Witam, ".$_SESSION['login']; 
}else{
 
if(isset($_POST['wyslij'])) {
 
 
   if(mysql_num_rows(mysql_query("SELECT login, haslo
   FROM users WHERE login = '".$_POST['login']."' 
   && haslo = '".$_POST['haslo']."' ")) > 0) {
 
 
	   if(mysql_num_rows(mysql_query("SELECT id FROM users
	   WHERE login = '".$_POST['login']."' 
	   && haslo = '".$_POST['haslo']."' ")) > 0 ) {
 
 
		   $_SESSION['zalogowany'] = true;
		   $_SESSION['login'] = $_POST['login'];
		   $_SESSION['haslo'] = $_POST['haslo'];
		   echo "Jesteś zalogowany<br> Możesz przegladac profile uzytkownikow <a href=userlook.php>tutaj</a><p>";
 
 
	   } else { 
 
   echo "Złe hasło, proszę spróbować ponownie";
}
} else { 
   echo "Nie ma takiego użytkownika, lub podales/as zle haslo";
}
} else { 
 
?>[/code]
A w każdej podstronie, która może być widoczna tylko dla admina tworzyłem coś ta
kiego(jest to system dodawania newsa do bazy):
[code]<?
 
$admin= mysql_query("select * from users where rank=='admin'");
 
If($admin==$_SESSION['login'])
 
echo '<form method=post action=add.php>
Dodawanie newsa do bazy<br>
<textarea name=addnews rows=5 cols=19></textarea><br>
 
<input type=submit value=ok>';
 
 
 
 
mysql_query("insert into tabelka(news) values('$addnews')");
 
 
$newsy=mysql_num_rows(mysql_query("select * from tabelka where news=''"));
 
If($newsy>0)
	mysql_query("delete from tabelka where news=''");
?>
[PHP] pobierz, plaintext

Wszystko pięknie ładnie, jak zaloguje się na użytkownika, który nie ma rangi amdina to nie może tego zobaczyć- i tak ma być. Niestety wczoraj zauważyłem, że jeśli nie zaloguje się w ogóle to mogę wejść do tego działu! Co muszę dopisać, aby tak nie było? Żeby tylko admin miał dostęp do tego działu i żeby wymagało to logowania?

Jeśli ktoś potrzebuje zobaczyć jak to wygląda to proszę bardzo: http://79.187.194.106/projekt2
Z góry dziękuje za odpowiedź

Pozdrawiam
Tomek

marcio

31.12.2007, 12:47:54

Ogolnie jak przechowywujesz w sesji haslo to je koduj za pomoca md5() i dopiero porownuj z baza.
Ogolnie w pliku dla admina nie ma zadnej autoryzacji spradzaj czy zostala wyslalana sesja z login'em i haslem zapisuje w sesji i sprawdzaj tak

[PHP] pobierz, plaintext 
<?php
//tu polaczenie z baza
$query = mysql_query("select * from users where rank=='admin'");
while($tab = mysql_fetch_assoc($query)) {
if($tab['login'] == $_SESSION['login'] && $tab['haslo'] == md5($_SESSION['haslo'])) {
//tu panel admina
}
?>
[PHP] pobierz, plaintext

Ogolnie to nie wiem jak ci to wytlumaczyc bo masz to jakies dziwne

ale idea jest mniej wiecej taka

wrka123

31.12.2007, 13:05:41

- upps
działą odwrtonie- userzy zarejestrowani widzą wszytsko.
Ten kto sie nie zaloguje nie widzi nic- a ptrzebuje, zeby tylko ten co ma range admina to widzial:

Kod

<?php

mysql_connect("localhost","root","");
mysql_select_db("tomek");

$query = mysql_query("select * from users where rank='admin'");
while($tab = mysql_fetch_assoc($query));
if($tab['login'] = $_SESSION['login'] && $tab['haslo'] = md5($_SESSION['haslo'])){

echo "Dodawanie newsa do bazy:<a href=add.php>klik</a> 
Edycja newsa w bazie:<a href=change.php>klik</a> 
Usuwanie newsa z bazy:<a href=del.php>klik</a> 
Masowe kasowanie newsów:<a href=massdel.php>klik</a> 
Usuwanie użytkowników:<a href=userdel.php>klik</a> 
Nadawanie rangi administratora:<a href=admingive.php>klik</a> 
Czyszczenie shoutboxa:<a href=shoutboxclean.php>klik</a> 
Czyszczenie wyników friendtestu:<a href=friendtestmassdel.php>klik</a> ";
}

?>

marcio

31.12.2007, 13:28:19

No ok teraz moga to widziec tylko zalogowani a ja na twoim miejscu to bym zmienil jedna rzecz tabele dla normalnych user'ow zosta users a dla admina daj admin i wtedy nie bedzie sie mieszac zaden rank.

P.S teraz zobacze dokladniej na kod

P.S2 maja byc 2 = bo porownujesz dane a nie przypisujesz

[PHP] pobierz, plaintext 
<?php
if($tab['login'] == $_SESSION['login'] && $tab['haslo'] == md5($_SESSION['haslo']))
?>
[PHP] pobierz, plaintext

wrka123

31.12.2007, 14:36:37

Na pewno jest jakiś sposób na to...

-wrka123-

31.12.2007, 19:09:19

Cytat(wrka123 @ 31.12.2007, 14:36:37 )

Na pewno jest jakiś sposób na to...

Hmm... zauwazylem, że jak loguje w taki sposob:
1.Loguje sie na konto bez admina- pisze nie masz uprawnien admina(wszytko gra),
2.Wylogowuje sie
3 .Loguje sie na konto admina- panel sie wyswietla.
4. wylogowuje sie
5. z powrotem loguje sie na konto bez admina
6. a wtedy co dziwne wyswietla się panel admina!

Może zapisuje się coś w cookiesach?

marcio

31.12.2007, 19:26:15

W cookie sie nic sam z siebie nie zapisuje a ty cookie nie wysylasz wiec jest tylko jedna opcja zle niszczysz sesje po wylogowywaniu pokaz kod odpowiadajacy za wylogowywanie

-wrka123-

31.12.2007, 22:45:49

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['wyloguj'])) {
session_destroy();
echo "<br>Zostałeś wylogowany";
}
?>
<br>
Jeśli jeszcze sie nie zarejestrowałes to kliknij <a href=register.php>tutaj</a>
 
 
 
	</td></tr>
</table>
<input type='submit' value='Wyśloguj' name='wyloguj'>
</form>
<br>
<a href=panel.php>Admin</a>
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.