Witam
Działanie mojego skryptu ma być proste, ma polegać na tym, że po zalogowaniu się danego użytkownika wyświetli mu się lista kursów ze statusami do których ma dostęp a do których nie.

Mam w bazie między innymi takie tabele jak:
- users (id, name, login, password) - tabela przechowuje dane użytkownika
- courses (id, lp, name, url, category_id) - tabela przechowuje kursy, linki do nich i id kategorii do jakiej należy dany kurs
- access_courses (id, id_user, id_course, status) - tabela przechowuje informacje który użytkownik ma dostęp do którego kursu i wyświetla odpowiedni status

To mi działa w połączeniu z kodem, który sobie napisałem, ale problem jest w linii 75. Dokładnie w zapytaniu

[SQL] pobierz, plaintext 
SELECT * FROM courses c, access_courses ac WHERE ac.id_user = $_SESSION['id'] && ac.id_course = c.id ORDER BY lp ASC
[SQL] pobierz, plaintext 

Jeżeli to wstawię to jest problem, natomiast jeżeli wstawię na sztywno id użytkownika np. tak

[SQL] pobierz, plaintext 
SELECT * FROM courses c, access_courses ac WHERE ac.id_user = 1 && ac.id_course = c.id ORDER BY lp ASC
[SQL] pobierz, plaintext 

to wszystko jest idealnie. Jednak tak jak wspomniałem będzie więcej użytkowników i id chcę pobierać z sesji.

Poniżej umieszczam swój fragment kodu. Proszę o przeanalizowanie go i podpowiedź jak to naprawić.

[PHP] pobierz, plaintext 
<?php
    .
    . // tu nieistotny fragment kodu
    .
    if (isset($_POST['login']) && isset($_POST['password']))
        {
            if (!empty($_POST['login']) && !empty($_POST['password']))
                {
                    $login = addslashes(strip_tags($_POST['login']));
                    $password = addslashes(strip_tags(md5($_POST['password'])));
 
                    $stmt = $pdo->prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';");
                    $stmt->execute();
 
                    if ($row = $stmt->fetchAll(PDO::FETCH_ASSOC))
                        {
                            $_SESSION['id'] = $row['id'];
                            $_SESSION['online'] = 1;
                            $_SESSION['time'] = time();
                            $_SESSION['user'] = $login;
                            $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
                        }
                    else
                        {
                            $logon = new cTemplate;
 
                            $logon->assign['msg'] = "podałeś błędny login lub hasło!<br>spróbuj ponownie";
                            $page->assign['container'] = $logon->parse("templates/logon.html");
                            $page->assign['title'] = "Logowanie";
                            $main->assign['page'] = $page->parse("templates/page.html");
                            echo $main->parse("templates/index.html");
                            exit;
                        }
                }
            else
                {
                    $logon = new cTemplate;
 
                    $logon->assign['msg'] = "nie wprowadziłeś wszystkich danych<br>spróbuj ponownie";
                    $page->assign['container'] = $logon->parse("templates/logon.html");
                    $page->assign['title'] = "Logowanie";
                    $main->assign['page'] = $page->parse("templates/page.html");
                    echo $main->parse("templates/index.html");
                    exit;
                }
        }
 
    if (isset($_SESSION['online']) && isset($_SESSION['time']) && $_SESSION['user'] && ($_SESSION['online']===1))
        {
            if (time()-$_SESSION['time'] < 900)
                {
                    $_SESSION['time'] = time();
 
                    if (!isset($_GET['action']))
                        {
                            $_GET['action'] = "";
                        }
 
                    .
                    . // tu nieistotny fragment kodu
                    .
 
                    switch ($_GET['action'])
                        {
                            default:
                                if (isset($_GET['cat_id']))
                                    {
                                        $cat_id = $_GET['cat_id'];
 
                                        $stmt = $pdo->prepare("SELECT * FROM courses c, access_courses ac WHERE ac.id_user = 1 && ac.id_course = c.id && c.category_id = $cat_id ORDER BY lp ASC");
                                        $stmt->execute();
                                    }
                                else
                                    {
                                        $stmt = $pdo->prepare("SELECT * FROM courses c, access_courses ac WHERE ac.id_user = $_SESSION['id'] && ac.id_course = c.id ORDER BY lp ASC");
                                        $stmt->execute();
                                    }
 
                                .
                                . // tu fragment wyświetlający listę kursów dostępnych dla danego użytkownika
                                .
                        }
 
                    $page->assign['container'] = $panel->parse("templates/panel.html");
                }
            else
                {
                    $logon = new cTemplate;
 
                    $logon->assign['msg'] = "przekroczono czas bezczynności<br>zaloguj się ponownie";
                    $page->assign['container'] = $logon->parse("templates/logon.html");
                    $page->assign['title'] = "Logowanie";
                }
        }
    else
        {
            $logon = new cTemplate;
 
            $logon->assign['msg'] = "<br>podaj login i hasło<br>";
            $page->assign['container'] = $logon->parse("templates/logon.html");
            $page->assign['title'] = "Witaj na portalu";
        }
 
    $main->assign['page'] = $page->parse("templates/page.html");
 
    echo $main->parse("templates/index.html");
?>
[PHP] pobierz, plaintext 

Wydaje mi się że problem może być z tym że sesja nie jest globalna, ale może się mylę. Proszę o pomoc.
Z góry bardzo dziękuję.

Twój kod w tym miejscu:

[PHP] pobierz, plaintext 
                    $stmt = $pdo->prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';");
[PHP] pobierz, plaintext 

Jest totalnie beznadziejny. Czytałeś dokumentację? Twoje zapytanie nie jest bezpieczne i mija się z celem takie używanie prepare. Usuwanie znaków z hasła też specjalnie mądre nie jest. Ach, i jeszcze md5. Poważnie? Czasy PHP4 już dawno minęły. Teraz się używa http://php.net/manual/en/function.password-hash.php

Co zwraca $_SESSION['id'] przed tym zapytaniem?

Dzięki za sugestię dotyczącą tego logowania, poczytam. Co do tego co zwraca session['id'], to zakomentowałem wszystko co znajduje się w default i wstawiłem tylko linijkę

[PHP] pobierz, plaintext 
$panel->assign['content'] = "$_SESSION['id']";
[PHP] pobierz, plaintext 

Po uruchomieniu skryptu wystąpił komunikat błędu

[PHP] pobierz, plaintext 
Parse error: syntax error, unexpected '' (T_ENCAPSED_AND_WHITESPACE), expecting identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING) in C:\Xampp\htdocs\www\test\index.php on line 87
[PHP] pobierz, plaintext 

Kiedy wstawię linijkę bez cudzysłowia

[PHP] pobierz, plaintext 
$panel->assign['content'] = $_SESSION['id'];
[PHP] pobierz, plaintext 

to strona ładuje się prawidłowo, ale w zmiennej sesji nie wyświetla się nic, tak jakby nie przyszła.

var_dump($_SESSION['id']);

Głupie pytanie...

A dajesz:

[PHP] pobierz, plaintext 
session_start();
[PHP] pobierz, plaintext 

Tak session_start daję

Skróciłem jeszcze bardziej swój kod i lekko przerobiłem, co by jeszcze bardziej zawęzić problem i żeby każdy mógł go przetestować. Teraz wygląda on tak

Skrócona wersja mojego kodu

[PHP] pobierz, plaintext 
<?php
    session_start();
 
    $pdo = new PDO('mysql:host=localhost; port=3306; dbname=test', 'root', '');
 
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $pdo->exec("SET NAMES 'utf8'");
 
    if (isset($_POST['login']) && isset($_POST['password']))
        {
            if (!empty($_POST['login']) && !empty($_POST['password']))
                {
                    $login = addslashes(strip_tags($_POST['login']));
                    $password = addslashes(strip_tags(md5($_POST['password'])));
 
                    $stmt = $pdo->prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';");
                    $stmt->execute();
 
                    if ($row = $stmt->fetchAll(PDO::FETCH_ASSOC))
                        {
                            $_SESSION['id'] = $row['id'];
                            $_SESSION['online'] = 1;
                            $_SESSION['time'] = time();
                            $_SESSION['user'] = $login;
                        }
                    else
                        {
                            echo "Podałeś błędny login lub hasło";
                            exit;
                        }
                }
            else
                {
                    echo "Nie wprowadzłeś wszystkich danych";
                    exit;
                }
        }
 
    if (isset($_SESSION['id']) && isset($_SESSION['online']) && isset($_SESSION['time']) && $_SESSION['user'] && ($_SESSION['online']===1))
        {
            if (time()-$_SESSION['time'] < 900)
                {
                    $_SESSION['time'] = time();
 
                    if (!isset($_GET['action']))
                        {
                            $_GET['action'] = "";
                        }
 
                    switch ($_GET['action'])
                        {
                            default:
                                var_dump($_SESSION['id']);
                            break;
                        }
                }
            else
                {
                    echo "Przekroczono czas bezczynności";
                }
        }
    else
        {
            echo "<h1>Panel Użytkownika</h1>
                  <form method='post' action=''>
                    <div>
                        <input type='text' name='login' placeholder='Twój login' value=''>
                    </div>
                    <div>
                        <input type='password' name='password' placeholder='Twoje hasło' value=''>
                    </div>
                        <button type='submit'>Zaloguj się</button>
                   </form>";
        }
?>
[PHP] pobierz, plaintext 

Do panelu nie da się zalogować, ponieważ nie przychodzi id. Wartość id to null. Widać to kiedy w linii 39 zamiast

[PHP] pobierz, plaintext 
isset($_SESSION['id'])
[PHP] pobierz, plaintext 

wstawimy

[PHP] pobierz, plaintext 
!isset($_SESSION['id'])
[PHP] pobierz, plaintext 

Wtedy się zalogujemy a var_dump zwróci NULL. W czym problem?

Zrób print_r/var_dump z $row = $stmt->fetchAll(PDO::FETCH_ASSOC)

Wprowadziłem chwilowo taki kod pomiędzy default a break

[PHP] pobierz, plaintext 
default:
    var_dump($_SESSION['id']);
    var_dump($_SESSION['online']);
    var_dump($_SESSION['time']);
    var_dump($_SESSION['user']);
    echo "<br>----------------------------------<br>";
    print_r ($row = $stmt->fetchAll(PDO::FETCH_ASSOC));
break;
[PHP] pobierz, plaintext 

Wynik w przeglądarce taki

[HTML] pobierz, plaintext 
Notice: Undefined index: id in C:\Xampp\htdocs\www\test\index.php on line 21
NULL int(1) int(1474426757) string(7) "Testowy" 
----------------------------------
Array ( )
[HTML] pobierz, plaintext 

PS: Oczywiście, żeby w ogóle zobaczyć jakiekolwiek wyniki pomiędzy default a break to musiałem na chwilę zmienić

[PHP] pobierz, plaintext 
isset($_SESSION['id']) 
[PHP] pobierz, plaintext 

na

[PHP] pobierz, plaintext 
!isset($_SESSION['id'])
[PHP] pobierz, plaintext 

bo to z nim mam cały czas problem.

W jakim celu dajesz tutaj średnik? Nie mam na myśli tego na końcu tylko tego przed ostatnim cudzyslowiem - >

[PHP] pobierz, plaintext 
 
prepare("SELECT * FROM users where login = '".$login."' && password = '".$password."';");
[PHP] pobierz, plaintext 

Może to jest przyczyną błędu

To teraz jeszcze var_dump($row).
fetchAll zwraca tablicę a nie pojedynczy rekord.

No rozpacz

[PHP] pobierz, plaintext 
    <?php
        session_start();
        $now = time();
        $session_key = 'auth_user';
 
        if ($_SERVER['REQUEST_METHOD'] == 'POST')
        {
            $host = 'localhost';
            $dbname = 'mojabaza';
            $user = 'root';
            $passwd = 'root';
 
            $dsn = 'mysql:host='. $host . '; dbname=' . $dbname;
            $pdo = new PDO($dsn, $user, $passwd);
 
            //akurat taka sól jest użyta w celu hashowania hasła w mojej testowej bazie
            $salt = 'gj5PxmUt8CAbcnS2';
            $login = $_POST['login'];
            //test na PHP 5.4 (tam nie ma password_hash :-) )
            $password = hash_hmac('sha256', $_POST['password'], $salt);
 
            //akurat takie pola mam w bazie czyli username i password jako SHA-256
            $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
            $stmt->execute(array(':username' => $login, ':password' => $password));
 
            if ($row = $stmt->fetch(PDO::FETCH_ASSOC))
            {
                $session_data = array(
                    'time' => $now,
                    'user' => $row
                    );
 
                $_SESSION[$session_key] = $session_data;
            }
            else
            {
                echo "Blad logowania";
                exit;
            }
        }
 
        $max_idle_time = 30;
        // czy nie wystarczy tylko sprawdzanie po tym 
        if (isset($_SESSION[$session_key]) && !empty($_SESSION[$session_key]))
        {
                if ($now - $_SESSION[$session_key]['time'] < $max_idle_time)
                {
                    $_SESSION[$session_key]['time'] = $now;
                    echo "Jestes zalogowany";
                }
                else
                {
                    echo "Przekroczono czas bezczynnosci";
                    session_destroy();
                }
        }
        else
        {
                echo '<h1>Panel Uzytkownika</h1>
                      <form method="post" action="">
                        <div>
                            <input type="text" name="login" placeholder="Twoj login" value="">
                        </div>
                        <div>
                            <input type="password" name="password" placeholder="Twoje haslo" value="">
                        </div>
                            <button type="submit">Zaloguj sie</button>
                       </form>';
        }
    ?>
[PHP] pobierz, plaintext 

Testowałem to na jednej ze swoich baz na localhoście, Ty musisz dostosować (pola), jak i hasła (sposób hashowania) do swojej.

Pisałem o tym wyżej

Autor tematu widać nie do końca złapał o co chodzi

Dziękuję Wam wszystkim za odpowiedzi, wcześniej nie miałem czasu odpisać. Udało mi się wreszcie poprawić ten kod, głównie dzięki zmianom wprowadzonym na podstawie skryptu daro0. Nie była to wina średnika na końcu zapytania, jak sugerował Star, choć faktycznie był zbędny

Co do tego co zwracał var_dump($row) to zwracał wszystko co trzeba było czyli

[HTML] pobierz, plaintext 
Notice: Undefined index: id in C:\Xampp\htdocs\www\test\index.php on line 23
 
Notice: Undefined index: name in C:\Xampp\htdocs\www\test\index.php on line 25
array(1) { [0]=> array(4) { ["id"]=> string(1) "1" ["name"]=> string(12) "Użytkownik1" ["login"]=> string(7) "Testowy" ["password"]=> string(32) "f86bdb19deb2c5ab632734b8d884ce06" } }
[HTML] pobierz, plaintext 

no może bez tego notice tego nie trzeba było Dlatego się dziwiłem, bo w tablicy id i name było a warunek nie był spełniony co skutkowało tym, że nie można się było zalogować i żeby zobaczyć co wyświetla var_dump to musiałem zmienić

[PHP] pobierz, plaintext 
isset($_SESSION['id'])
[PHP] pobierz, plaintext 

na

[PHP] pobierz, plaintext 
!isset($_SESSION['id'])
[PHP] pobierz, plaintext 

i się okazywało, że jednak id przyszło

Ogólnie to mógłbym już dać wszystkim pomógł i można by zamknąć temat, ale dalej nie wiem co było przyczyną tych problemów w tamtej wersji mojego uproszczonego kodu. Czy mógłby mi ktoś wyjaśnić?

Stara wersja zawierała

[PHP] pobierz, plaintext 
if ($row = $stmt->fetchAll(PDO::FETCH_ASSOC))                   
         {
              $_SESSION['id'] = $row['id'];
              $_SESSION['time'] = time();
              $_SESSION['user'] = $row['name'];
         }
[PHP] pobierz, plaintext 

oraz

[PHP] pobierz, plaintext 
if (isset($_SESSION['id']) && isset($_SESSION['time']) && isset($_SESSION['name']))
        {
            if (time()-$_SESSION['time'] < 900)            
                {
                    $_SESSION['time'] = time();
                    var_dump($row);
                }
         }
[PHP] pobierz, plaintext 

Nowa wersja zawiera

[PHP] pobierz, plaintext 
$sessionauth = "";
[PHP] pobierz, plaintext 

oraz

[PHP] pobierz, plaintext 
 
if ($row = $stmt->fetch(PDO::FETCH_ASSOC))
         {
               $x = array('id' => $row['id'], 'time' => time(), 'user' => $row['name']);
 
               $_SESSION[$sessionauth] = $x;
         }
[PHP] pobierz, plaintext 

i to

[PHP] pobierz, plaintext 
if (isset($_SESSION[$sessionauth]) && !empty($_SESSION[$sessionauth]))
        {         
            if (time()-$_SESSION[$sessionauth]['time'] < 900)
                {                
                    $_SESSION[$sessionauth]['time'] = time();
                    var_dump($row);
                }
            else
                {
                    echo "Przekroczono czas bezczynności";
                }
        }
[PHP] pobierz, plaintext 

I to działa. W czym więc był problem??

Chyba czytasz co się do ciebie pisze?



Masz tutaj tablicę.

[PHP] pobierz, plaintext 
$_SESSION['id'] = $row[0]['id'];
[PHP] pobierz, plaintext 

Fetch zwraca już pojedynczy rekord stąd jest dobrze. Jeszcze strzelam że zapewne brakuje ci kluczy (np unikalnego na login), oraz mógłbyś dodać LIMIT w zapytaniu.

A no faktycznie głupi błąd, powinienem był pobrać tylko jeden wiersz spełniający warunek czyli wstawić

[PHP] pobierz, plaintext 
$_SESSION['id'] = $row[0]['id'];
$_SESSION['user'] = $row[0]['name'];
[PHP] pobierz, plaintext 

zamiast

[PHP] pobierz, plaintext 
$_SESSION['id'] = $row['id'];
$_SESSION['user'] = $row['name'];
[PHP] pobierz, plaintext 

Poza tym błąd miałem w warunku pobierałem

[PHP] pobierz, plaintext 
if (isset($_SESSION['id']) && isset($_SESSION['time']) && isset($_SESSION['name']))
[PHP] pobierz, plaintext 

zamiast

[PHP] pobierz, plaintext 
if (isset($_SESSION['id']) && isset($_SESSION['time']) && isset($_SESSION['user']))
[PHP] pobierz, plaintext 

Dzięki wszystkim za podpowiedzi, teraz działają mi już obie wersje skryptu

Mam jeszcze tylko jedno ostatnie pytanko odnośnie
Usuwanie znaków z hasła też specjalnie mądre nie jest.

Teraz mój kod w części odpowiadającej za logowanie wygląda tak

[PHP] pobierz, plaintext 
if (isset($_POST['login']) && isset($_POST['password']))
        {
            if (!empty($_POST['login']) && !empty($_POST['password']))
                {
                    $login = addslashes(strip_tags($_POST['login']));
                    $password = hash_hmac('sha256', $_POST['password'], '2NYbH5qS8J');
 
                    $stmt = $pdo->prepare("SELECT * FROM users WHERE login = :login && password = :password");
                    $stmt -> execute(array(':login' => $login, ':password' => $password));
 
                    if ($row = $stmt->fetch(PDO::FETCH_ASSOC))
                        {
                            $_SESSION[$session_data] = array('id' => $row['id'], 'time' => $now, 'user' => $row['name']);
                        }
                    else
                        {
                            echo "Podałeś błędny login lub hasło";
                            exit;
                        }
                }
            else
                {
                    echo "Nie wprowadzłeś wszystkich danych";
                    exit;
                }
        }
[PHP] pobierz, plaintext 

Czy teraz jest już ok, w sensie bezpiecznie? Czy addslashes i strip_tags przy loginie jest uzasadnione czy może pominąć? I podobne pytanie przy haśle czy dodać addslashes? A jeśli tak to w takiej formie

[PHP] pobierz, plaintext 
addslashes(hash_hmac('sha256', $_POST['password'], '2NYbH5qS8J'));
[PHP] pobierz, plaintext 

czy takiej

[PHP] pobierz, plaintext 
hash_hmac('sha256', addslashes($_POST['password']), '2NYbH5qS8J');
[PHP] pobierz, plaintext 

Jeszcze raz dzięki za odpowiedzi, to już ostatnie moje pytanie w tym temacie

No to sobie sprawdź co Ci wypluje hash_hmac, bez względu na to jakie hasło wpiszesz i bez względu na to jak je obrabiasz w PHP. W przypadku SHA-256 będzie to coś tego typu:

e9f379a548dc29a242759944decc45702cbbb000f65b163e46ca7ae210161df2

I zawsze będzie miało długość 64 znaków tylko te literki i cyferki będą inne. Będziesz kombinował to się nawet nie zalogujesz, bo to co porównujesz będzie inne. No i w tym przypadku nawet jak gdzieś tam zmienisz sól a masz hasła zapisane na poprzednią, to też już się nie zalogujesz.

To wiem, że zawsze po obrobieniu hasła, zmianie soli czy kodu odpowiedzialnego za hashowanie te znaki się zmienią i zmieniając to muszę potem do bazy wstawić nowe zahashwane hasło. Tutaj bardziej chodziło mi o bezpieczeństwo skryptu, bazy i formularzy, bo viking napisał w drugim poście "Usuwanie znaków z hasła też specjalnie mądre nie jest.", a ja dodałem addslashes i strip_tags żeby uniemożliwić wprowadzenie i wykonanie ewentualnego złośliwego kodu. Kiedyś się uczyłem, żeby tak robić, ale wtedy nie używałem PDO. Z tąd to pytanie czy dodawać to do loginu i hasła czy nie, a jak tak to w jakiej formie tej pierwszej czy drugiej.

No cóż, z tego co widać to nie takie proste...
http://stackoverflow.com/questions/134099/...t-sql-injection

Może się ktoś do tego odnieść?