Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Logowanie i Sesje
Forum PHP.pl > Forum > Przedszkole
set4812
26.09.2010, 00:25:52
Mam skrypt logowania napisany który działa poprawnie. Przypisuje w sesji id do id uzytkownika z bazy. W związku z tym mam kilka pytan , czy istnieje jakas mozliwosć żeby ktoś sobie wpisał session['id']=1 i sie zalogował pod uzytkownikiem nr 1 w bazie oraz czy istnieje mozliwosc wyciagniecia specyficznego ciagu znaków z sesji i wciagniecia do bazy i porównania z sesjami u uzytkownika??
Pozdrawiam set4812
kamillo121
26.09.2010, 10:42:55
No pewnie smile.gif
Zrób sobie tabelę w bazie danych np "sesje' tam będziesz przechowywał nr id sesji id usera itd i porównywał z danymi ze sesji.
Wtedy masz już większą pewność, że nikt nie podmieni sesji

A co do tego ciągu, to możesz np md5 albo sha1 zmielić IP usera przeglądarkę i aktualny czas i to by był taki hash, potem zapisujesz go w tabeli sesje w mysql i u usera w session i porównujesz smile.gif
dethim
26.09.2010, 11:34:42
pokaz skrypt to zobaczymy
set4812
26.09.2010, 15:02:49 
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. function logowanie(){
  4. if(!isset ($_POST['logowanie'])){
  5. echo '<center><form action="index.php" method="post">
  6. <font color="red"><B> Login</B></font><input type="text" name="user" size="15"><br/>
  7. <B><font color="red">Hasło</font></B><input type="password" name="pass" size="15"><br/>
  8. <input type="submit" value="Zaloguj" name="logowanie" ></form></center>
  9. <a href="index.php?id=register">REJESTRACJA</a>
  10. ';}
  11. else {
  12. $pass=$_POST['pass'];
  13. $login=$_POST['user'];
  14.  
  15. if(isset ($_POST['logowanie']))
  16. {
  17. $link = mysql_connect('localhost', 'root', '');
  18. $result = mysql_select_db('forum');
  19. $query= 'SELECT * FROM uzytkownicy';
  20. $z=mysql_query($query);
  21. while ($row=mysql_fetch_assoc($z))
  22. {
  23. if ($login==$row['login'] and $pass==$row['haslo']){
  24. $_SESSION['id'] = $row['id'];
  25. echo '<html><head><meta http-equiv="refresh" content="0;url=http://localhost/raporty/index.php"/></head><body></body></html>'; 
  26.  
  27. 										}
  28. else{
  29. echo "zla nazwa lub haslo uzytkownika";
  30.  echo '<html><head><meta http-equiv="refresh" content="3;url=http://localhost/raporty/index.php"/></head><body></body></html>'; 
  31. }}}}}
  32. function zalogowany(){
  33. 		$link = mysql_connect('localhost', 'root', '');
  34. $result = mysql_select_db('forum');
  35.  
  36. $query= 'SELECT * FROM uzytkownicy WHERE id='.$_SESSION['id'].'';
  37. $z=mysql_query($query);
  38. while ($row=mysql_fetch_assoc($z))
  39. echo 'Witaj <b>'.$row['login'].'</b><br/>';
  40. echo '<a href="index.php?id=katalogi">Katalogi</a><br/>';
  41. echo '<a href="index.php?id=news">Newsy</a>';
  42. }
  43.  
  44.  
  45. if(!isset($_SESSION['id']))
  46. 	{
  47. 		$_SESSION['id'] = 0;
  48. 		logowanie();
  49. 		}
  50. 		else if($_SESSION['id'] == 0) {logowanie();}
  51.  
  52. if($_SESSION['id'] > 0) {zalogowany();} 
  53.  
  54. ?>
[PHP] pobierz, plaintext


Kod do optymalizacji całkowitej tongue.gif. Bede go przerabiał na klasę. Co w nim mozna znienic zeby bardziej zabezpieczyćquestionmark.gif
bastard13
26.09.2010, 15:18:37
Sesji nikt ci nie nadpisze. Nie ma możliwości żebym napisał sobie skrypt, w którym stworzę zmienną $_SESSION['id']=1 i się zaloguję dzięki niemu na twoją stronę. Sesja jest indywidualna dla każdego jej wywołania. Czyli dla każdej osoby jest ona osobna, niewspółdzielona i żaden użytkownik nie ma ingerencji w sesje innego użytkownika.
W tym kodzie, co pokazałeś, to na początek zmień logowanie. Nie wyciągaj wszystkich użytkowników i wtedy sprawdzaj czy istnieje taki, jaki się chce zalogować, tylko stwórz zapytanie w stylu:
[SQL] pobierz, plaintext 
  1. SELECT * FROM uzytkownicy WHERE login=$login AND haslo=$haslo
[SQL] pobierz, plaintext

oczywiście takie dane trzeba sprawdzić. Do hasła polecam hashowanie np sha1, wtedy masz
[SQL] pobierz, plaintext 
  1. SELECT * FROM uzytkownicy WHERE login=$login AND haslo=sha1($haslo)
[SQL] pobierz, plaintext

i oczywiście jakaś walidacja loginu, albo wyrażenie regularne, gdzie sprawdzasz, czy login zawiera tylko znaki dopuszczalne albo przynajmniej http://pl2.php.net/manual/en/function.mysq...cape-string.php
Po wykonaniu zapytania sprawdzaj czy został wyciągnięty rekord z bazy. Jeżeli tak -> zaloguj, nie -> brak użytkownika.
set4812
26.09.2010, 18:10:35
przechodze 100 na obiektowo i w stosunku do tego jeszcze zadam kilka pytan czy da sie przerwać wykonywanie klasy gdy wszystkie funkcje wykonywuja sie w konstruktorze?? A co do haseł w md5 będę kodował. login i hasło escepe string przeleciec. łaczenie z baza chce oddzielenie zrobic jak je uzywac w klasie jezeli mam je w oddzielnym pliku, uzywam mysqli.
bastard13
26.09.2010, 18:29:56
1) Przerywanie wykonywania funkcji - return bądź exit()
2) Jeżeli używasz md5 lub czegoś podobnego to nie potrzeba ci już escape.
3) funkcje include(), require(), require_once() - dołączanie pliku. Żeby je używać w klasie możesz przekazać jako argument do konstruktora/funkcji klasy.
set4812
26.09.2010, 20:11:25
Ja chce miec w całej Clasie zeby funkcje miały połaczenie z baza jak i konstruktor, czyli mam zaincludowac czy jakos przekazac, prosze o jakis przykład
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.