Forum PHP.pl > Logowanie tylko admina

Pomoc - Szukaj - Użytkownicy - Kalendarz

jokker

22.07.2011, 11:03:21

Witam. Chciałem zrobić aby tylko admin po zalogowaniu mógł wejść do strony admin2.php

w tabeli jest kolumna admin i jeżeli ktoś ma admina to 1, a jak nie to domyślnie 0.

Kod logowania (plik admin.php) przerobiłem tak żeby logowało tylko admina, ale teraz jak zabezpieczyć plik admin2.php
żeby sprawdzało czy jest administratorem. Zamieszczam kody:

admin.php

[PHP] pobierz, plaintext 
<?php
 
 
  session_start();
  if (isset($_SESSION['user_id'])) {
    // Usunięcie zmiennych sesji przez wykasowanie elementów tablicy $_SESSION.
    $_SESSION = array();
 
    // Usunięcie pliku cookie sesji przez ustawienie daty wygasania na godzinę (3600 sekund) wstecz.
    if (isset($_COOKIE[session_name()])) {
      setcookie(session_name(), '', time() - 3600);
    }
 
    // Kończenie sesji.
    session_destroy();
  }
 
  // Usunięcie plików cookie z identyfikatorem i nazwą użytkownika
  // przez ustawienie ich daty wygasania na godzinę wstecz (3600 sekund).
  setcookie('user_id', '', time() - 3600);
  setcookie('username', '', time() - 3600);
 
  require_once('connectvars.php');
require_once('startsession.php');
  // Rozpoczynanie sesji.
 // session_start();
 
  // Usuwanie komunikatu o błędzie.
  $error_msg = "";
 
  // Jeśli użytkownik nie jest zalogowany, należy spróbować go zalogować.
  if (!isset($_SESSION['user_id'])) {
    if (isset($_POST['submit'])) {
      // Łączenie się z bazą danych.
      $dbc = mysqli_connect(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME);
 
      // Pobieranie danych logowania wpisanych przez użytkownika.
      $user_username = mysqli_real_escape_string($dbc, trim($_POST['username']));
      $user_password = mysqli_real_escape_string($dbc, trim($_POST['password']));
 
      if (!empty($user_username) && !empty($user_password)) {
        // Wyszukiwanie nazwy użytkownika i hasła w bazie danych.
        $query = "SELECT user_id, username FROM mismatch_user WHERE username = '$user_username' AND password = SHA('$user_password') AND admin='1'";
        //$query = "SELECT user_id, username FROM mismatch_user WHERE username = '$user_username' AND password = '$user_password'";
        $data = mysqli_query($dbc, $query);
 
        if (mysqli_num_rows($data) == 1) {
          // Dane logowania są poprawne, dlatego należy ustawić zmienne sesji z
	  // identyfikatorem i nazwą użytkownika, a następnie przejść do strony głównej.
          $row = mysqli_fetch_array($data);
          $_SESSION['user_id'] = $row['user_id'];
          $_SESSION['username'] = $row['username'];
          setcookie('user_id', $row['user_id'], time() + (1));    // Wygasa za 30 dni.
          setcookie('username', $row['username'], time() + (1));  // Wygasa za 30 dni.
          $home_url = 'http://' . $_SERVER['HTTP_HOST'] . dirname($_SERVER['PHP_SELF']) . '/admin2.php';
          header('Location: ' . $home_url);
        }
        else {
          // Para nazwa użytkownika - hasło jest nieprawidłowa, dlatego należy ustawić komunikat o błędzie.
          $error_msg = 'Nie masz praw administratora.';
        }
      }
      else {
        // Użytkownik nie podał pary nazwa - hasło, dlatego należy ustawić komunikat o błędzie.
        $error_msg = 'Musisz podać poprawną parę nazwa - hasło, aby się zalogować.';
      }
    }
  }
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2" /> 
  <title>Zgłaszanie usterek</title>
  <link rel="stylesheet" type="text/css" href="style.css" />
</head>
<body>
  <h3>Panel administracyjny - Logowanie</h3>
 
<?php
  // Jeśli zmienna sesji jest pusta, skrypt wyświetla komunikat o błędzie i formularz
  // logowania. W przeciwnym razie informuje o udanym zalogowaniu użytkownika.
  if (empty($_SESSION['user_id'])) {
    echo '<p class="error">' . $error_msg . '</p>';
?>
 
  <form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
    <fieldset>
      <legend>Logowanie</legend>
      <label for="username">Nazwa użytkownika:</label>
      <input type="text" name="username" value="<?php if (!empty($user_username)) echo $user_username; ?>" /><br />
      <label for="password">Hasło:</label>
      <input type="password" name="password" />
    </fieldset>
    <input type="submit" value="Zaloguj" name="submit" />
  </form>
 
<?php
  }
  else {
    // Potwierdzenie udanego zalogowania.
    echo('<p class="login">Zalogowany użytkownik: ' . $_SESSION['username'] . '.</p>');
  }
?>
<a href="wyloguj.php"><input type="button" value="Wyloguj" /></a>
<br /><a href="admin.php"><h6>panel administracyjny</h6></a>
 
</body>
</html>
[PHP] pobierz, plaintext

oraz admin2.php

[PHP] pobierz, plaintext 
<?php
 
  require_once('startsession.php');
  require_once('connectvars.php');
 
  if (!isset($_SESSION['user_id'])) {
    echo '<p class="login"><center><a href="admin.php">Administrator niezalogowany</a></p></center>';
    exit();
  } 
 
 mysql_connect("***", "***", "***")or die(mysql_error());
mysql_select_db("***")or die (mysql_error());
  ?>
<html>
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2" /> 
<title>Zgłaszanie usterek</title>
</head>
<body>
<center>
// Tu wiele linijek kodu do sortowania tabeli, nie trzeba czytać
<form method="post">
<strong>Sortuj według: </strong>
<select name="select" id="select">
		<option>Nazwisko</option>
		<option>Temat</option>
		<option>Opis</option>
		<option>Priorytet</option>
		<option>Numer zgłoszenia</option>
		<option>Data</option>
		<option>Status</option>
	</select>
 
<input type="submit" value="Sortuj" name="submit" />
<?php
$select = $_POST['select'];
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY nr";
 
if ($select == "Nazwisko"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY nazwisko";
}
if ($select == "Temat"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY temat";
}
if ($select == "Opis"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY opis";
}
if ($select == "Priorytet"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY priorytet";
}
if ($select == "Numer zgłoszenia"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY nr";
}
if ($select == "Data"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY data";
}
if ($select == "Status"){
$wywolanie = "SELECT nazwisko, temat, opis, priorytet, nr, data, status FROM zgloszenia ORDER BY status";
}
// koniec tych sortowania 
$ok = mysql_query($wywolanie);
 
 
echo '<table border="1">';
echo '<tr><td><strong>Nazwisko</strong></td><td><strong>Temat</strong></td><td><strong>Opis</strong></td><td><strong>Priorytet</strong></td><td><strong>Numer złoszenia</strong></td><td><strong>Data</strong></td><td><strong>Status</strong></td></tr>';
 
while($pokaz = mysql_fetch_array($ok)) {
 
echo '<tr>';
  echo '<td>' . $pokaz['nazwisko'] . '</td>' . '<td>' . $pokaz['temat'] . '</td><td>' .  $pokaz['opis'] . '</td><td>' . $pokaz['priorytet'] . '</td><td>' . $pokaz['nr'] . '</td><td>' . $pokaz['data'] . '<td>' . $pokaz['status'] . '</td>';
 
echo '</tr>';
 }
echo '</table>';
 
?> 
<p /><br /><br /><p />
<table>
<tr><td>
<center><strong>Kasowanie zgłoszeń:</strong></center>
</td></tr>
<tr><td>
<form name="kasowanie" method="post">
Numer zgłoszenia: <input name="nr" type="text" style="width: 30px"/> 
<input name="submit" type="submit" value="Kasuj" /></form>
</td></tr></table>
<?php
if(isset($_POST['submit']) && $_POST['submit'] == 'Kasuj'){
$nr = $_POST['nr'];
$kasowanie = "DELETE FROM zgloszenia WHERE nr ='".$nr."'";
$result = mysql_query($kasowanie);
$home_url = 'http://' . $_SERVER['HTTP_HOST'] . dirname($_SERVER['PHP_SELF']) . '/amdin2.php';
          header('Location: ' . $home_url);
}
?>
<p /><br /><br /><p />
<table>
<tr><td>
<center><strong>Zamykanie zgłoszeń:</strong></center>
</td></tr>
<tr><td>
<form name="zamykanie" method="post">
Numer zgłoszenia: <input name="nr" type="text" style="width: 30px"/> 
<input name="submit" type="submit" value="Zamknij" /></form>
</td></tr></table>
<?php
if(isset($_POST['submit']) && $_POST['submit'] == 'Zamknij'){
//$status = $_POST['status'];
$nr = $_POST['nr'];
$zamykanie = "UPDATE zgloszenia SET status = '".'Zamknięte'."' WHERE nr ='".$nr."'";
$result = mysql_query($zamykanie);
$home_url = 'http://' . $_SERVER['HTTP_HOST'] . dirname($_SERVER['PHP_SELF']) . '/amdin2.php';
          header('Location: ' . $home_url);
}
?>
<p /> <a href="wyloguj.php"><input type="button" value="Wyloguj" /></a>
<br /><a href="admin.php"><h6>panel administracyjny</h6></a>
</center>
</body>
</html>
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.