Forum PHP.pl > [MySQL][PHP] Logowanie. While powiela komunikat...

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [MySQL][PHP] Logowanie. While powiela komunikat...

Bureau

10.04.2012, 01:12:01

Siemanko.

Napisałem sobie prosty skrypt logowania.
Skrypt po zalogowaniu przekierowywuje na index2.php poprzez header().
Niestety gdy używam else aby wyświetlić niepowodzenie operacji, to while mi powiela komunikat.
Dzieje się chyba dlatego ponieważ sprawdzam dwie zmienne ? Nie wiem dokładnie.

Kod przedstawia się następująco:

[PHP] pobierz, plaintext 
<?php 
session_start();
if (isset($_POST['submit'])) {
	$conn = mysqli_connect("localhost", "", "", "test");
 
		$login = $_POST['login'];
		$haslo = $_POST['haslo'];
 
		$zapytanie = "SELECT * FROM uzytkownicy";
		$data = mysqli_query($conn, $zapytanie) or die("MySQL error: " . mysqli_error($conn) . "<hr>\nQuery: $zapytanie");
 
		if ($zapytanie) {
			while ($row = mysqli_fetch_array($data)) {
				if ($login == $row['login'] || $haslo == $row['haslo']) {
 
						$_SESSION['zalogowany'] = true;
						header("location:index2.php");
 
			}
				else {
						?>	
							Niepoprawne dane. Zaloguj sie ponownie!
							<a href="logowanie.php" >Logowanie</a>
						<?
						}
 
 
		}
 
 
		}
 
		}
		else {
		?>
 
		<form action="logowanie.php" method="post" />
			<input name="login" />
			<input name="haslo" />
			<input type="submit" name="submit" value="Zaloguj" />
		</form>
 
		<?php
		}
?>
[PHP] pobierz, plaintext

Komunikat:

Kod

Niepoprawne dane. Zaloguj sie ponownie!
<a href="logowanie.php" >Logowanie</a>

Zostaje powielany.
Wiem że jest on w petli, ale jak jest gdzie indziej to nie działa

Chciałem zastosować też header(), ale wtedy nawet gdy podam poprawne dane w formularzu to przekierowuje mnie na logwanie.php bez sesji...

Da sie to jakos inaczej wyświetlić ? Próbowałem foreach, ale niestety dzialania tej instrukcji nie kumam do końca.

Dzięki za odpowiedzi

Pozdrawiam!

kaktus283

10.04.2012, 02:05:23

A przypadkiem linia 14 nie powinna wyglądać o tak ?

[PHP] pobierz, plaintext 
if( $login == $row['login'] && $haslo == $row['haslo'] ) {
[PHP] pobierz, plaintext

Damonsson

10.04.2012, 03:16:29

A do czego służy Ci ten while w 13 linijce?

camikazee

10.04.2012, 08:43:42

Dziwny skrypt, podglądałeś w internecie jak "prawidłowo" wykonać skrypt logowania? Po co pobierać wszystkich userów z bazy i w pętli sprawdzać czy pasuje hasło i login do któregoś?
Przykładowo:

[PHP] pobierz, plaintext 
$zapytanie = "SELECT * FROM uzytkownicy WHERE login = '".$_POST['login']."' AND haslo = '".$_POST['haslo']."'";
[PHP] pobierz, plaintext

Oczywiście pomijam kwestię bezpieczeństwa powyższego kodu. Kolejna sprawa, koduj hasła choćby w MD5.
A teraz ostatnia kwestia, zobacz masz w bazie 100 userów, logujesz, 99 pierwszych nie pasuje do szukanego login, hasło, więc wyświetli komunikat o błędzie, setny zaś pasuje, ale przekierowania już nie zrobi, bo wyświetlił informacje o wcześniejszym błędzie.

Bureau

10.04.2012, 10:32:13

Cytat(kaktus283 @ 10.04.2012, 03:05:23 )

A przypadkiem linia 14 nie powinna wyglądać o tak ?

[PHP] pobierz, plaintext 
if( $login == $row['login'] && $haslo == $row['haslo'] ) {
[PHP] pobierz, plaintext

To chyba nic nie zmienia ?

Było też && i był (tak mi sie wydaje) ten sam efekt

Cytat

A do czego służy Ci ten while w 13 linijce?

Ten while ? Tak szczrze to chciałbym się go pozbyć, bo to takie moje przyzwyczajenie w pisaniu wyświetlania

Jakim sposobem mogę inaczej to zapisać aby nie była to pętla ? Bo zdaje mi się że to ona powiela mi komunikat i są same problemy...

Cytat

Dziwny skrypt.
Oczywiście pomijam kwestię bezpieczeństwa powyższego kodu. Kolejna sprawa, koduj hasła choćby MD5.
A teraz ostatnia kwestia, zobacz masz w bazie 100 userów, logujesz, 99 pierwszych nie pasuje do szukanego login, hasło, więc wyświetli komunikat o błędzie, setny zaś pasuje, ale przekierowania już nie zrobi, bo wyświetlił informacje o wcześsiejszym błędzie.

Co do bezpieczeństwa to wiem, jest paskudnie, ale to tak na szybko pisany z pamięci kod.
Ucze sie php, wiem tez ze w md5 koduje sie hasla do bazy i odwrotnie

to na to przyjdzie czas

na razie trenuje sobie

Twoje zapytanie miałem wbite w kod, ale nie działało bo nie dawałem chyba średników

Jak mogę to zrobić bez pętli ? Po prostu po wykonaniu zapytania zamiast while dać:

[PHP] pobierz, plaintext 
if ($zapytanie) { ...
[PHP] pobierz, plaintext

?

Pozdrawiam!

camikazee

10.04.2012, 12:01:20

Trzeba zacząć od analizy gotowych kodów i przyjąć pewną logikę.
Postaram się Tobie wytłumaczyć jak to powinno wyglądać.

1. Pobieram od użytkownika login oraz hasło
2. Sprawdzam jednym zapytaniem czy istnieje w bazie user o takim loginie i takim haśle
3. Istnieje, to przekierowuję, nie wyświetlam błąd

U Ciebie jest tak
1. Pobieram wszystkich użytkowników z bazy
2. Sprawdzam czy do któregoś pasuje login lub hasło (ta zasadnicza różnica pomiędzy || a && - || oznacza że obojętnie który warunek musi być spełniony czyli w Twoim przypadku wystarczy, że znajdzie uzytkownika o danym loginie lub danym haśle i nie muszą wcale one pasować do siebie, && oznacza, że szuka usera, który ma login jakiś tam i hasło przypisane i oba warunki muszą być spełnione)
3. Dla każdego użytkownika pobranego, jeżeli hasło i login nie pasują wyświetlam błąd

Widzisz różnicę?

Po co pobierać wszystkich użytkowników, jak szukasz tylko jednego?
I pamiętaj, jak coś nie działa, to nie dlatego, że jest złe w swym założeniu, tylko Ty źle to zbudowałeś.

md5_jest_slabe

10.04.2012, 13:11:02

md5 na obecne standardy jest uznawany za słaby algorytm hashujący i ma dość rozbudowaną bazę hashy, więc nie należy go stosować

https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet

zainteresuj się raczej PHPass używanym przez wordpress, phpbb3 i inne duże skrypty

Bureau

10.04.2012, 13:23:56

Cytat(camikazee @ 10.04.2012, 13:01:20 )

Tak, widzę różnicę

Dzięki za wytłumaczenie

Tylko teraz jak już sprawdze czy dany user istnieje w bazie (Twoim sposobem) to co dalej ?

[PHP] pobierz, plaintext 
if ($zapytanie) {
przekierowanie do indexu
} else {
przekierowanie na formularz logowania
}
[PHP] pobierz, plaintext

EDIT ////////

Do przykładowego wyświetlania po zapytaniu użyłem:

[PHP] pobierz, plaintext 
$row = mysqli_fetch_array($data);
echo "Twoje id to" . $row['id'];
[PHP] pobierz, plaintext

Chciałem sprawdzic na szybko czy dobrze czyta uzytkowników.
Teraz kwestia tego żeby wyświetlić error w przypadku podania złych danych lub gdy sa one prawidlowe uzycia header() lub innego przekierowania.
Chodzi tu chyba tylko jaki warunek dac w if, aby rozpoznawalo kiedy ma przekierowac a kiedy wyswietlic blad.

camikazee

10.04.2012, 14:21:27

Nie, nadal nie zrozumiałeś.

[PHP] pobierz, plaintext 
    <?php
    session_start();
    if (isset($_POST['submit'])) {
    $conn = mysqli_connect("localhost", "", "", "test");
 
    $login = $_POST['login'];
    $haslo = $_POST['haslo'];
 
    $zapytanie = "SELECT * FROM uzytkownicy WHERE login = '".$login."' AND haslo = '".$haslo."'";
    $data = mysqli_query($conn, $zapytanie) or die("MySQL error: " . mysqli_error($conn) . "<hr>\nQuery: $zapytanie");
 
    if (mysql_num_rows($data)==1) { // czy znaleziono TYLKO jednego usera z pasujacym loginem i haslem
    $_SESSION['zalogowany'] = true;
    header("location:index2.php");
 
    }
    else {
    ?>
    Niepoprawne dane. Zaloguj sie ponownie!
    <a href="logowanie.php" >Logowanie</a>
    <?
    }
 
 
    }
 
 
    }
 
    }
    else {
    ?>
 
    <form action="logowanie.php" method="post" />
    <input name="login" />
    <input name="haslo" />
    <input type="submit" name="submit" value="Zaloguj" />
    </form>
 
    <?php
    }
    ?>
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.