Cześć, piszę skrypt logowania i mam problem. Po kliknięciu w submit, strona tylko się odświeża - nie ma żadnych błędów, nie pisze, że login / hasło są nie poprawne, ani nie przenosi na podaną stronę. Proszę o pomoc.

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Logowanie</title>
</head>
<body>
 
<?
error_reporting(E_ALL); 
ini_set('display_errors',1);
 
require_once("config.php");
 
if(isset($_POST['submit'])){
 
$user = $_POST['user'];
 
$password = $_POST['password']; 
 
$salt = 'NS9Wvi5t74j4xXdNXHAFhkj89GV7UKgy2FI3hwXDS4YX4TJqiTMaO8snxoCNGRR';
 
$hashed = md5($password.$salt);
 
$sql = mysql_query("SELECT * FROM kezman WHERE user='$user' AND password='$hashed'"); 
 
$num_rows = mysql_num_rows($sql); 
 
if ($num_rows) { 
 
header("location:blabla.html");
 
}
else
{
$msg="Podane dane są nie poprawne !";
} 
}
 
?>
 
 
 
 
 
 
 
<!-- Formularz -->
 
<div id="login">
 
                <form id="panel" name="panel" method="post" action="index.php">
                <input name="user" type="text" id="user" /><br />
                <input name="password" type="password" id="password" /><br />
                <input name="singin" type="submit" id="submit" value="Sign in !" />
                </form>
 
</div>
 
<!-- Koniec formularza -->
 
 
 
</body>
</html>
[PHP] pobierz, plaintext 

Nazwa submita z tego co widzę powoduje błąd. Sprawdzasz

[PHP] pobierz, plaintext 
if(isset($_POST['submit']))
[PHP] pobierz, plaintext 

ale przecież Twój submit ma name="singin" i to jej powinieneś użyć. A tak masz sytuację gdy sprawdzenie submita w zmiennej POST wywala Ci FALSE zawsze bo nie ma takiej zmiennej Sprawdź to sobie dodając print_r lub else za sprawdzeniem submita w stylu: "Nie naciskano submita" Wywalać Ci będzie to pewnie nawet gdy go będziesz naciskał.

EDIT: I tak będziesz miał błędy bo przed headerem posłałeś Doctype( i wszystko aż do znacznika body) do przeglądarki już. Wrzucaj do dopiero po sprawdzaniu czy dostałeś POST. Swoją drogą zmiennej $msg nigdzie nie wyświetlasz

Dodałem sesje, naprawiłem submit, ale dzieje się tak samo. Myślę, że coś z sesjami nagrzebałem :/ :

[PHP] pobierz, plaintext 
<?
session_start();
if(session_is_registered("done")){ 
  header("location:blabla.html");
 
  ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Logowanie</title>
</head>
<body>
 
<?
error_reporting(E_ALL); 
ini_set('display_errors',1);
 
require_once("config.php");
 
if(isset($_POST['signin'])){
 
$user = $_POST['user'];
 
$password = $_POST['password']; 
 
$salt = 'NS9Wvi5t74j4xXdNXHAFhkj89GV7UKgy2FI3hwXDS4YX4TJqiTMaO8snxoCNGRR';
 
$hashed = md5($password.$salt);
 
$sql = mysql_query("SELECT * FROM kezman WHERE user='$user' AND password='$hashed'"); 
 
$num_rows = mysql_num_rows($sql); 
 
if ($num_rows) { 
session_register("done");    
 
 
}
else
{
echo "Podane dane są nie poprawne !";
} 
}
}
 
?>
 
 
 
 
 
 
 
<!-- Formularz -->
 
<div id="login">
 
                <form id="panel" name="panel" method="post" action="index.php">
                <input name="user" type="text" id="user" /><br />
                <input name="password" type="password" id="password" /><br />
                <input name="signin" type="submit" id="signin" value="Sign in !" />
                </form>
 
</div>
 
<!-- Koniec formularza -->
 
 
 
</body>
</html>
[PHP] pobierz, plaintext 

Ustaw sobie wszystko po kolei. Sesję startujesz, robisz post, jeśli po poście "done" jest zarejestrowane to robisz redirecta, a jeśli nie to pójdzie dalej. Innymi słowy robisz sobie tak zwany diagram interakcji. Weź sobie logicznie na chłopski rozum rozpisz co się ma, kiedy i jak w skrypcie wykonywać czasowo. Wtedy zauważysz, że na logikę tak jest.
Startuje sesja dla pliku -> sprawdza się rejestracja przebiegła -> sprawdzasz post -> w zależności od post masz errory lub przekierowanie z ustawieniem na "done".
Tyle że sprawdzanie sesji wymagałoby dodatkowego jednego przebiegu więc musisz to przebudować.
Startuje sesja -> sprawdzasz post -> ustawiasz lub nie w sesji "done" -> jeśli "done" zarejestrowane to przekierowanie -> brak done oznacza błędy więc wyświetl je i formularz.

Bardzo dziękuję za to wytłumaczenie, na prawdę podbudowałeś mnie do ukończenia skryptu

Aktualnie wygląda to tak :

[PHP] pobierz, plaintext 
<?
session_start();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Logowanie</title>
</head>
<body>
 
<?
error_reporting(E_ALL); 
ini_set('display_errors',1);
 
require_once("config.php");
 
 
 
 
 
if(isset($_POST['signin'])){
 
$user = mysql_escape_string($user);
 
$password = mysql_escape_string($password);
 
$salt = 'NS9Wvi5t74j4xXdNXHAFhkj89GV7UKgy2FI3hwXDS4YX4TJqiTMaO8snxoCNGRR';
 
$hashed = md5($password.$salt);
 
$sql = mysql_query("SELECT * FROM kezman WHERE user='$user' AND password='$hashed'"); 
 
$num_rows = mysql_num_rows($sql); 
 
if ($num_rows) { 
 
 
session_register("user");
echo "Działa !";
 
}
else
{
echo "Podane dane są nie poprawne !";
} 
}
 
 
?>
 
 
 
 
 
 
 
<!-- Formularz -->
 
<div id="login">
 
                <form id="panel" name="panel" method="post" action="index.php">
                <input name="user" type="text" id="user" /><br />
                <input name="password" type="password" id="password" /><br />
                <input name="signin" type="submit" id="signin" value="Sign in !" />
                </form>
 
</div>
 
<!-- Koniec formularza -->
 
 
 
</body>
</html>
[PHP] pobierz, plaintext 

Wszystko działa. Mam jednak pytanie. Czy skrypt jest bezpieczny/optymalny ? Jeśli nie to mógłbyś mi podać jakieś wskazówki ?
Dodałem coś takiego :

[PHP] pobierz, plaintext 
$user = mysql_escape_string($user);
 
$password = mysql_escape_string($password);
[PHP] pobierz, plaintext 

Mysql_escape_string jest oznaczona jako deprecated, czyli ma być wycofana i zamiast niej powinno się używać mysql_real_escape_string, ale poza tym masz jeden "mały" błąd... Nie sprawdzasz danych przychodzących z formularza. Strip_tags lub funkcja adekwatnie działająca w takim wypadku to niezbędne minimum. W ten sposób zabezpieczasz się przed wrzuceniem kodu html do pól formularza. Poczytaj artykuły o Cross Site Scripting (CSS, XSS) i wstrzyknięciu kodu (SQL Injection) - czyli innymi słowy bezpieczeństwie formularzy. Tutaj w portalu masz o tym trochę. Na przyszłość radziłbym Ci także używać apostrofu pojedynczego zamiast podwójnego. Jest to szybsze, bo nie uruchamia interpretera PHP szukającego w stringu zmiennych php Przykład?

[PHP] pobierz, plaintext 
$sql = mysql_query("SELECT * FROM kezman WHERE user='$user' AND password='$hashed'"); 
[PHP] pobierz, plaintext 

zamień na

[PHP] pobierz, plaintext 
$sql = mysql_query('SELECT * FROM kezman WHERE user=\''.$user.'\' AND password=\''.$hashed.'\''); 
[PHP] pobierz, plaintext 

Ważne by wiedzieć kiedy i jak chronić te apostrofy by były widziane odpowiednio. Stąd zauważ, że czasem muszę je "escapować". W sumie zastanawiam się czy de facto musze, ponieważ mysql_real_escape powinna otoczyć string apostrofami sama Ale nigdy nie testowałem

Bardzo Ci dziękuję ! Pozdrawiam