Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php] Skrypt logowania
Forum PHP.pl > Forum > Przedszkole
Snap
28.02.2007, 15:17:53
Czy ten skrypt jest bezpieczny smile.gif questionmark.gif? Jakieś sugestie ?
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. if(isset($_POST['submit']))
  6.  
  7. {
  8.  
  9.   $test1=$_POST['login'];
  10.  
  11.   $test2=$_POST['haselko'];
  12.  
  13.   $haselko=md5($haselko);
  14.  
  15.   $pobierz1="SELECT * from ts_sites where nazwa='$test1' and haslo='$test2";
  16.  
  17.   $pobierz2=mysql_query($pobierz1) or die(mysql_error());
  18.  
  19.   $pobierz3=mysql_fetch_array($pobierz2);
  20.  
  21.   if($pobierz3)
  22.  
  23.   {
  24.  
  25. 	 $_SESSION['logowanie1']=$_POST['login'];
  26.  
  27. 	 print "Zalogowany";
  28.   }
  29.  
  30.   else
  31.  
  32.   {
  33.  
  34. 	print "Błędny login lub hasło";
  35.  
  36.   }
  37.  
  38. }
  39.  
  40. ?>
[PHP] pobierz, plaintext
JaRoPHP
28.02.2007, 15:44:41
Sugestie:
1. Manual (http://pl.php.net/manual/pl/language.variables.php):
Cytat
Poprawna nazwa zmiennej zaczyna się od litery lub znaku podkreślenia "_",

2. Do algorytmu md5(), dodałbym jeszcze jakieś "ziarno", np.:
[PHP] pobierz, plaintext 
  1. <?php
  2. $seed = 'JakisNapis';
  3. $haselko=md5(md5($seed) . $haselko . $seed);
  4. ?>
[PHP] pobierz, plaintext

3. Proponuję "oczyszczać" wszystkie zmienne otrzymane od użytkownika, np. funkcją htmlentities" title="Zobacz w manualu PHP" target="_manual.
4. Przy sprawdzeniu istnienia rekordu, skorzystałbym z funkcji mysql_num_rows" title="Zobacz w manualu PHP" target="_manual.
Snap
28.02.2007, 16:11:01
Wielkie dzięki za ziarenko smile.gif fajny pomysł biggrin.gif a te zmienne to był przykład biggrin.gif
Jeszcze mam problem z aliasem :/ Nie wiem jak zrobić żeby adres
KOTEK.domena.pl == domena.pl/index.php?nazwa=KOTEK,
"Wildcard" mam włączony.
Kicok
28.02.2007, 16:54:41
Ale przede wszystkim zapoznaj się z tym: Temat: SQL Injection Insertion

oraz:
get_magic_quotes_gpc" title="Zobacz w manualu PHP" target="_manual
addslashes" title="Zobacz w manualu PHP" target="_manual
stripslashes" title="Zobacz w manualu PHP" target="_manual
mysql_escape_string" title="Zobacz w manualu PHP" target="_manual
mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual
Snap
28.02.2007, 17:57:14
Mam pytanie, gdzie tu jest błąd questionmark.gif? :
[PHP] pobierz, plaintext 
  1. <?php
  2. include ("connect.php");
  3.  
  4.  switch($HTTP_HOST) {
  5.   $zapytanie = mysql_query ("SELECT * FROM aliasy") or
  6.  die ("bald");
  7.  
  8. 	case "www.".$sub.".strona.pl":
  9. 		header("Location: index.php?strona=".$sub."");
  10. 	break;
  11.  
  12. 	default:
  13. 		print "Tu bedzie główan strona";
  14. 	break;
  15.  
  16. 	while($rekord = mysql_fetch_array ($zapytanie)){
  17.  
  18. 	$sub = $rekord[0];
  19. }
  20. }
  21.  
  22. ?>
[PHP] pobierz, plaintext

Proszę o pomoc smile.gif
pioteer
28.02.2007, 18:01:03
Wywołaj mysql_error() i zobacz co zwróci. smile.gif
Snap
28.02.2007, 18:18:23
Nic nie wywala cos w skrypcie jest nie tak

P.S.
[PHP] pobierz, plaintext 
  1. <?php
  2. include ("../polaczenie.php");
  3.  
  4. 	$zapytanie = mysql_query ("SELECT * FROM aliasy") or
  5. 		die ("Blad - mysql_query");
  6.  
  7.  switch($HTTP_HOST) {
  8. 	case "www.".$sub.".strona.pl":
  9. 		header("Location: index.php?strona=".$sub."");
  10. 	break;
  11.  
  12. 	default:
  13. 		print "Tu bedzie główan strona";
  14. 	break;
  15.  
  16. 	while($rekord = mysql_fetch_array ($zapytanie)){
  17.  
  18. 	$sub = $rekord[0];
  19. }
  20. }
  21. ?>
[PHP] pobierz, plaintext

Działa
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.