Witam

Mam zrobione logowanie, najlepsze jest to że moge zalogować się tylko poprzez liczby, nie moge podać np Wotekk, tylko 1111

[PHP] pobierz, plaintext 
<?php
$query = mysql_query("SELECT * FROM user WHERE `user_name` = " . $_POST['user'] . "  ");
$fetch = mysql_fetch_array($query);
if ( $fetch ) 
{
if ( md5( $_POST['password'] ) == $fetch['user_password'] ) 
{	 
 
 
}  
else  
{
  echo 'Przykro mi, ale podane haslo jest bledne';   
}
}
else
{   
echo 'Podany uzytkownik nie istnieje w bazie danych';
}
?>
[PHP] pobierz, plaintext 

dziwne logowanie. a kolumny jaki maja typ ? moze int zmien moze na varchal

[SQL] pobierz, plaintext 
CREATE TABLE `user` (
  `id` int(8) NOT NULL AUTO_INCREMENT,
  `user_name` varchar(128) NOT NULL DEFAULT '',
  `user_full` varchar(128) NOT NULL DEFAULT '',
  `user_password` varchar(128) NOT NULL DEFAULT '',
  `user_group` varchar(5) NOT NULL DEFAULT '',
    PRIMARY KEY  (`id`)
) ;
[SQL] pobierz, plaintext 

Tak mam SQL'a

a moze spruboj

[PHP] pobierz, plaintext 
<?php
$query = mysql_query("SELECT user_name FROM user WHERE `user_name` = " . $_POST['user'] . "  ");
?>
[PHP] pobierz, plaintext 

a pozniej jezeli bedzie taki user to zrobisz nastepne zapytanie i sprawdzisz haslo

odpowiedź:
Podany uzytkownik nie istnieje w bazie danych
Nadal to samo

1. Wstawianie w zapytanie danych bezposrednio formularza bez jakiejkolwiek kontroli jest dosc glupie. Szukaj: SQL injection
2. SELECT user_password FROM... wiecej nie potrzebujesz. + za to, ze masz sprawdzanie hasla oddzielnym warunkiem.
3. na hash md5 potrzebujesz 32 znakow nie 128...poczytaj rowniez o sha1" title="Zobacz w manualu php" target="_manual albo o soli stosowanej w systemach unix
4. Pomysl o zabezpieczniu kodu przed zbyt duza liczba niepoprawnie wpisanych hase

A co do tego czemu loguje Cie przez liczby to sprawdz co tak masz w tabeli, moze pomyliles sie przy tworzeniu kont.

poszukaj na forum pod haslem logowanie i zobacz jak inni to robia.
w zapytaniu daj jeszcze zeby szukalo w 2 warunkach

[SQL] pobierz, plaintext 
WHERE user = zmienna AND haslo = zmienna_haslo
[SQL] pobierz, plaintext 

i przez funkcje mysq_num_rows zobacz ile rekordow zwraca zapytanie i wtedy ustaw sesje

edit: no i punkt 1 tego co napisal empathon o SQL injection to tez mozna znalesc na forum

Lepiej robic to przez dwa zapytania bo np w tym przypadku bez filtrowania wpisujac jako user ";--" haslo zostanie pominiete. Na php Solution jest do sciagniecia art na ten temat z dokladnym wyjasnieniem zagadnienia bezpiecznego logowania.

Zmieniłem z

[PHP] pobierz, plaintext 
<?php
mysql_query("SELECT * FROM user WHERE `user_name` = " . $_POST['user'] . "  ");
?>
[PHP] pobierz, plaintext 

na to i chodzi.

[PHP] pobierz, plaintext 
<?php
mysql_query("SELECT * FROM user WHERE user_name='$user' ")
?>
[PHP] pobierz, plaintext 

Dobrze zabezpieczyłem ? czy zrobilem jeszcze gorzej niż było

[PHP] pobierz, plaintext 
<?php
if (!get_magic_quotes_gpc()) { 
   $user = addslashes($_POST['user']); 
} else { 
   $user = $_POST['user']; 
} 
 
if (!get_magic_quotes_gpc()) { 
   $password = addslashes($_POST['password']); 
} else { 
   $password = $_POST['password']; 
} 
 
 
 
 
$query = mysql_query("SELECT * FROM user WHERE user_name='$user' ");
$fetch = mysql_fetch_array($query);
if ( $fetch ) // jesli user zostanie znaleziony w bazie
{
if ( md5( $_POST['password'] ) == $fetch['user_password'] ) // jesli haslo sie zgadza
{	 
echo 'zalogowany';
 
 
}  
else  
{
  echo 'Przykro mi, ale podane haslo jest bledne';   
}
}
else
{   
echo 'Podany uzytkownik nie istnieje w bazie danych';
}
?>
[PHP] pobierz, plaintext