Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php]logowanie z sesjami i ciasteczkami
Forum PHP.pl > Forum > PHP
pentel
3.07.2007, 22:17:53
Witam,
Moja strona działa na zasadzie includowania (przykładowy link ?x=home). Przed wysłaniem html i head wstawiłem logowanie. Problem jest właśnie w skrypcie na logowanie. Coś zrobiłem źle :(.

index.php (zostawiłem tylko to, co potrzebne):
[PHP] pobierz, plaintext 
  1. <?php
  2.   include_once 'inc/access.php';
  3. ?>
  4. <html>
  5.   <head>
  6.   </head>
  7.   <body>
  8.   <!-- tu includuje sobie strony -->
  9.   <!-- tu mam formularz logowania, który jest zawsze, niezależnie od wybranej podstron
    y -->
  10.   </body>
  11. </html>
[PHP] pobierz, plaintext


access.php:
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.   //session_id() = $_COOKIE['PHPSESSID']; //odkomentowane zwraca fatal error :/
  4.   $_SESSION['auth'] = $_COOKIE['auth'];
  5.   $_SESSION['user'] = $_COOKIE['user'];
  6.   $_SESSION['pass'] = $_COOKIE['pass'];
  7.   $_SESSION['level'] = $_COOKIE['level'];
  8.  
  9.   if ( session_id() == '' ){
  10. 	 session_start();
  11. 	 $formlogin = $_POST['formlogin'];
  12. 	 $formpassword = $_POST['formpassword'];
  13. 	   $mres_formlogin = mysql_real_escape_string($formlogin);
  14. 	   $md5_formpass = md5($formpassword);
  15. 	 if (!$formlogin || !$formpassword){
  16. 		session_unregister('user');
  17. 		session_unregister('pass');
  18. 		session_unregister('auth');
  19. 		session_unregister('level');
  20. 	 }
  21.  
  22. 	 $sql = "SELECT * FROM `users` WHERE `login` = '$mres_formlogin'"; // dlaczego jak umieszczam kod w [ php ][ /php ] to skrypt  
  23. 	 //dodaje te ''? :/
  24. 	 $dbuser = mysql_query($sql);
  25.  
  26. 	 $array = mysql_fetch_assoc($dbuser);
  27. 	   $userid = $array['id'];
  28. 	   $userlogin = $array['login'];
  29. 	   $userpassword = $array['password'];
  30. 	   $userlevel = $array['level'];
  31.  
  32. 	   $md5_dbpass = md5($array['password']);
  33.  
  34. 	 if ( (mysql_num_rows($dbuser) == 1) && ($md5_formpass == $md5_dbpass) ){
  35. 		$_SESSION['auth'] = true;
  36. 		$_SESSION['user'] = $userlogin;
  37. 		$_SESSION['pass'] = $md5_dbpass;
  38. 		$_SESSION['level'] = $userlevel;
  39. 		include_once 'inc/cookie.php';
  40. 	 } else {
  41. 		session_unregister('user');
  42. 		session_unregister('pass');
  43. 		session_unregister('auth');
  44. 		session_unregister('level');
  45. 	 }
  46.   }//end of if session_id
  47. ?>
[PHP] pobierz, plaintext


cookie.php:
[PHP] pobierz, plaintext 
  1. <?php
  2.   setcookie('auth', $_SESSION['auth'], time() + 300);
  3.   setcookie('user', $_SESSION['user'], time() + 300);
  4.   setcookie('pass', $_SESSION['pass'], time() + 300);
  5.   setcookie('level', $_SESSION['level'], time() + 300);
  6. ?>
[PHP] pobierz, plaintext


Jestem np. na stronie blablabla/?x=team i wpisując poprawne dane staję się zalogowany. Problem w tym, że gdy kliknę link do strony np. ?x=home (lub innej podstrony), to po przejściu na tą stronę już nie jestem zalogowany. Czyli jakby sesja nie spełnia swojego zadania. A chcę być zalogowany, aż do wygasnięcia ciasteczka, bądź wylogowania.
Jakieś pomysły? :) Pozdrawiam.
strife
4.07.2007, 08:35:57
Niepotrzebnie w ciasteczku przechowujesz ( jak się domyślam ) wartość odpowiadającą za uprawnienia, ciasteczka można modyfikować i jak widzę, dostęp jako administrator, można uzyskać bardzo łatwo :]

Trochę ten Twój kod jest zagmatwany, użyj konstrukcji takich jak var_export" title="Zobacz w manualu PHP" target="_manual do sprawdzenia czy w tablicy $_SERVER są dane umożliwiąjące rozpoznanie użytkownika, upewnij się.

Dodaj session_start() na początku index.php, może być tak, że sesja nie jest widoczna.

Pozdrawiam.
pentel
4.07.2007, 13:11:47
No to z tymi ciasteczkami dałem ciała smile.gif

Teraz access.php wygląda tak:
[PHP] pobierz, plaintext 
  1. <?php
  2.   session_start();
  3.  
  4.   $formlogin = $_POST['formlogin'];
  5.   $formpassword = $_POST['formpassword'];
  6. 	$mres_formlogin = mysql_real_escape_string($formlogin);
  7. 	$md5_formpass = md5($formpassword);
  8.  
  9.   if ( $_SERVER['REQUEST_METHOD'] == 'POST' ){
  10. 	 if ($_SESSION['auth'] !== true){
  11. 		$_SESSION['user'] = $mres_formlogin;
  12. 		$_SESSION['pass'] = $md5_formpass;
  13. 	 }
  14.   } else {
  15. 	 $_SESSION['user'] = $_COOKIE['user'];
  16. 	 $_SESSION['pass'] = $_COOKIE['pass'];
  17.   }
  18.  
  19. 	 $sql = "SELECT * FROM `users` WHERE `login` = '" . $_SESSION['user'] . "'";
  20. 	 $dbuser = mysql_query($sql);
  21.  
  22. 	 $array = mysql_fetch_assoc($dbuser);
  23. 	   $userid = $array['id'];
  24. 	   $userlogin = $array['login'];
  25. 	   $userpassword = $array['password'];
  26. 	   $userlevel = $array['level'];
  27.  
  28. 	   $md5_dbpass = md5($array['password']);
  29.  
  30. 	 if ( (mysql_num_rows($dbuser) == 1) && ($_SESSION['pass'] == $md5_dbpass) ){
  31. 		$_SESSION['auth'] = true;
  32. 		$_SESSION['user'] = $userlogin;
  33. 		$_SESSION['pass'] = $md5_dbpass;
  34. 		$_SESSION['level'] = $userlevel;
  35. 		include_once 'inc/cookie.php';
  36. 	 }
  37. ?>
[PHP] pobierz, plaintext

Zaś cookie.php tak:
[PHP] pobierz, plaintext 
  1. <?php
  2.   if ( isset($formremember) ){ // sesja wygasnie za tydzien
  3. 	 setcookie('user', $_SESSION['user'], time() + 7 * 24 * 3600);
  4. 	 setcookie('pass', $_SESSION['pass'], time() + 7 * 24 * 3600);
  5.   } else { // sesja wygasnie po zamknieciu przegladarki
  6. 	 setcookie('user', $_SESSION['user']);
  7. 	 setcookie('pass', $_SESSION['pass']);
  8.   }
  9. ?>
[PHP] pobierz, plaintext

Jakie jeszcze są tu dziury? smile.gif
Dalrin
24.08.2007, 13:57:42
Witka,

No tak patrząc na szybko to nie jestem pewien czy to dobrze, że przetrzymujesz w cookie usera i hasło.

Nie ma raczej większego problemu z wyciągnieciem czegoś z pliku cookie i podszycia się pod takiego nieświadomego użytkownika.

Pozdrawiam

--
Dalrin
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.