Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: md5 i sesja
Forum PHP.pl > Forum > Przedszkole
mitp
11.09.2006, 21:35:43
Witam.

Moje pytanie jest następujące: Hasła w bazie są kodowane. Przy logowaniu zakodowane hasła porownuje za pomocą: 

[PHP] pobierz, plaintext 
  1. <?php
  2. $password = md5($password);
  3. $zapytanie = "SELECT * FROM cos WHERE
  4. 					 user = '$user' and
  5. 					 password = '$password' ";
  6. ?>
[PHP] pobierz, plaintext


czyli bez "$password = md5($password);" nie szło bo widział inne hasła a nie zakodowane ...

teraz pytanie - jezeli pare linijek niżej tworzę sesję to ...

1) sesja utworzy mi się z zakodowanym hasłem?

[PHP] pobierz, plaintext 
  1. <?php
  2. session_register("password");
  3. ?>
[PHP] pobierz, plaintext
My4tic
11.09.2006, 22:01:30
1. Używaj $_GET/$_POST/$_SESSION itd.
2. Nie:

[PHP] pobierz, plaintext 
  1. <?php
  2. $password = md5($password);
  3. ?>
[PHP] pobierz, plaintext


Operator porównania to '==' a nie '=' więc:

[PHP] pobierz, plaintext 
  1. <?php
  2. $password == md5($password);
  3. ?>
[PHP] pobierz, plaintext


3. Nie używaj session_register();
4. Po co w ogole trzymać w sesji hasło? Zakodowane czy nie? Podczas logowania sprawdzasz czy user podał dobry login i hasło - jeśli tak to do sesji zapisz sobie np.:

[PHP] pobierz, plaintext 
  1. <?php
  2. $_SESSION['bUserStatus'] = TRUE;
  3. ?>
[PHP] pobierz, plaintext


...i po tym rozpoznajesz czy user jest zalogowany czy nie.
mitp
11.09.2006, 22:17:04
Ok. to moze poprosze o pomoc jak miało by to wyglądać poprawnie. Ja mam tak:

formularza nie bede przedstawial. skrypt autoryzacja.php

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.   $user = $_POST['user'];
  4.   $password = $_POST['password'];
  5.  
  6.   if (($user=='') AND ($password=='')) {
  7.   header("Location: blad1.php");
  8.   exit;
  9.   } else {
  10.   // połącz sie z MySQL
  11.   $conn = mysql_connect( "localhost", "...", "..." );
  12.   if(!$conn) {
  13.   echo 'Brak połączenia z bazą danych.';
  14.   exit;
  15.   }
  16.   // wybierz właściwą bazę danych
  17.   $db = mysql_select_db('aaa');
  18.   if(!$db) {
  19.   echo 'Błąd wyboru bazy danych.';
  20.   exit;
  21.   }
  22.   // znajdź pasujący wiersz
  23.   $password == md5($password);
  24.   $zapytanie = "SELECT * FROM bbb WHERE
  25. 					   user = '$user' and
  26. 					   password = '$password' ";
  27.   $wynik = mysql_query( $zapytanie );
  28.   if(!$wynik) {
  29.   echo 'Nie można wykonać zapytania.';
  30.   exit;
  31.   }
  32.  
  33.   $wiersz = mysql_fetch_row( $wynik );
  34.   $ile = $wiersz[0];
  35.   if ( $ile > 0 ) {
  36.  
  37.   session_start();
  38.   session_register("user");
  39.  
  40.   header("Location: cos/index.php");
  41.   } else {
  42.   header("Location: blad2.php");
  43.   }
  44. }
  45.  
  46. ?>
[PHP] pobierz, plaintext


pozniej na kazdej podstwonie zaczyna mi sie w ten sposob:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.  session_start();
  4.  if (!isset($user)) {
  5.  header("Location: blad_autoryzacji.php");
  6. 	exit;
  7.  } else {
  8.  
  9. echo'tresc strony';
  10. }
  11.  
  12. ?>
[PHP] pobierz, plaintext


Jeśli chodzi o tabele mam w niej pola:
- id
- user
- password
- status
( status moze przyjac wartość 0 "standardowo dla normalnych uzytkownikow" i 1 dla "administratora" )

I tu mam pytanie. Jak rozpoznać, jakie wykonać zapytanie ażeby sprawdzić jaki status ma dany użytkownik.
Chodzi mi o to że np. jak mam strone index.php ( to tu mogą wchodzić wszyscy ( uzytkownicy którzy mają status 0), ale po wejściu np. do strony tajna.php chcę sprawdzić który użytkownik ma status 1, a który 0 w bazie.
Ten co ma status 1 będzie mógł zobaczyć zawartość strony, a ten co ma 0 pojawi mu sie komunikat iż nie ma uprawnień do przeglądania tej strony.

Tylko jak to zapisac??

pomozecie?
My4tic
11.09.2006, 22:34:17
Źle mnie zrozumiałeś w kilku sprawach więc Ci to poprawie. 

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. $user = strip_tags($_POST['user']);
  4.   $password = strip_tags($_POST['password']);
  5.  
  6.   if ( empty($user) OR empty($password) ) {
  7. 	  header('Location: blad1.php');
  8.   exit;
  9.   } 
  10.  
  11.   else {
  12.   $conn = mysql_connect( 'localhost', '...', '...' );
  13.   if(!$conn) {
  14. 	   echo 'Brak połączenia z bazą danych.';
  15. 	   exit;
  16.   }
  17.  
  18.   $db = mysql_select_db('aaa');
  19.   if(!$db) {
  20. 	   echo 'Błąd wyboru bazy danych.';
  21. 	   exit;
  22.   }
  23.  
  24.   $password = md5($password); 
  25.   $zapytanie = 'SELECT * FROM bbb WHERE user = '.$user.' AND password = '.$password;
  26.   $wynik = mysql_query( $zapytanie );
  27.   if(!$wynik) {
  28. 	  echo 'Nie można wykonać zapytania.';
  29. 	  exit;
  30.   }
  31.  
  32.   $wiersz = mysql_fetch_row( $wynik );
  33.   $ile = $wiersz[0];
  34.   if ( $ile > 0 ) {
  35. 	   $_SESSION['bUserStatus'] = TRUE; // zalogowany
  36. 	   header('Location: cos/index.php'); // tresc dla zalogowanego
  37.   } 
  38.  
  39.   else {
  40.   header('Location: blad2.php');
  41.   }
  42. }
  43. ?>
[PHP] pobierz, plaintext 



[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.  if ( $_SESSION['bUserStatus'] == FALSE ) { // nie jest zalogowany
  4. 		header('Location: blad_autoryzacji.php');
  5. 	exit;
  6.  } 
  7.  else  echo'tresc strony';
  8. ?>
[PHP] pobierz, plaintext



Cytat
I tu mam pytanie. Jak rozpoznać, jakie wykonać zapytanie ażeby sprawdzić jaki status ma dany użytkownik.
Chodzi mi o to że np. jak mam strone index.php ( to tu mogą wchodzić wszyscy ( uzytkownicy którzy mają status 0), ale po wejściu np. do strony tajna.php chcę sprawdzić który użytkownik ma status 1, a który 0 w bazie.
Ten co ma status 1 będzie mógł zobaczyć zawartość strony, a ten co ma 0 pojawi mu sie komunikat iż nie ma uprawnień do przeglądania tej strony.

Tylko jak to zapisac??


W SQL nie trzymasz zadnego statusu usera. Do tego masz sesje. Skrypt powinien działać.
mitp
12.09.2006, 15:30:20
Witam. Dzieki śliczne za poprawe powyzszej czesci. Wszystko działa jak należy. Tylko co do tego statusu troszku się nie zrozumieliśmy. Nie chciałem go wykorzystać jako sprawdzenia czy użytkownik podał właściwe hasło czy nie, tylko do sprawdzenia jego "praw".

Chodziło mi o to, że (opisze to moze):

uzytkownik sie loguje, po praw. podaniu log. i hasla zostaje zalogowany i przekieowany do właściwej strony. Powiedzmy ze mamy strony index.php, aktualnosci.php i tajna.php. Status uzytkownika chciałem wykorzystać, azeby ograniczyć, rozdzielić "prawa" userów. Status 0 - oznacza inaczej zwykłego uzytkownika, bez praw np. modyfikacji newsów i tym samym uzytkownik posiadajacy status 0 nie będzie mógł wejść na stronę tajna.php mimo iż jest zalogowany w serwisie. Natomiast uzytkownik ze statusem 1 (czyli inaczej patrzac na to kontem administratora ) bedzie mógł poruszać się po wszystkich podstronach, tym sammym bedzie mógł wejsc do strony.tajna.php i modyfikowac newsy. Do tego chcialem wykozrystać dodatkowy rekord w tabeli, azeby nie robic dodatkowo panelu administratora ...

moze teraz wyjasniłem jasniej o co mi chodzilo ... tylko nei wiem jak to przelac na php winksmiley.jpg
My4tic
12.09.2006, 15:38:41
To dodaj sobie jeszcze jedną zmienną do sesji i po problemie. 

[PHP] pobierz, plaintext 
  1. <?php
  2. .
  3. . // poprawne logowanie
  4. .
  5.  
  6. $_SESSION['bUserStatus'] = TRUE;
  7. if ( $UserID == 1 ) $_SESSION['iAccessLevel'] = 0; // admin - pierwszy user z bazy SQL, czy jakoś inaczej, zależy jak to robisz
  8. else $_SESSION['iAccessLevel'] = 1; // zwykły user
  9. .
  10. .
  11. .
  12. ?>
[PHP] pobierz, plaintext
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.