Witam.

Mam problem z logowaniem admina.
W pliku login.php umiescilam kod:

[PHP] pobierz, plaintext 
if ($_POST['login']=='admin'and $_POST['haslo']=='admin')
{
header('Location:admin/panel_admin.php');
}
[PHP] pobierz, plaintext 

ale chcialabym , aby pobieral zaszyfrowane haslo admina, ktore mam w bazie danych.

Może cie mi pomóc...

Czytaj. Btw takie coś to żadne zabezpieczenie. Wystarczy wpisać adres admin/panel_admin i już masz dostęp do panelu.

Dlatego chciałam , aby haslo bylo pobierane zaszyfrowane... z bazy sql

Poczytaj o md5 i sha1, sesjach

Dobrze, ale nie w tym problem. I tak nikt nie odczyta wartości zmiennych i parametrów ze skryptu bez dostępu do kodu. Problem w tym, że przekierowujesz po prostu na stronę panelu, zamiast zrobić np. include i po stronie panelu sprawdzać, czy admin jest zalogowany, do czego stosuje się sesje.

I jeszcze jedno, haseł w bazie się nie szyfruje, a hashuje (jest to jednostronna operacja) . Zajrzyj do wspomnianego tutoriala, tam powinno być wszystko opisane.

Czy bez tej autoryzacji nie można zalogować admina...

To co ty robisz to tzw. "przekierowanie" po sprawdzeniu wpisanych wartości...
Logowanie wyróżnia się tym, że TYLKO zalogowani mają dostęp do tej treści.
Jeśli chcesz zabezpieczyć panel_admin przed niepowołanymi gośćmi po prostu sprawdź na początku tego pliku, czy dana sesja istnieje. Jeśli nie to zastosuj header (przekierowanie) na stronę z możliwością zalogowania

Nic trudnego.
Wpisz w google: php session i jeden z trzech pierwszych linków powinien dostarczyć Ci wszystkich niezbędnych informacji.

Pozdrawiam!

No mam sprawdzenie sesji...

[PHP] pobierz, plaintext 
if(isset($_SESSION['login'])) 
{
 
echo'<h3>Zostałeś poprawnie zalogowany <br />
Teraz możesz zająć się porządkiem na stronie :) </h3><br />';
}
else 
{
echo'<h2>Wyjdź stąd , ta strona nie jest dla Ciebie...</h2>';
}
[PHP] pobierz, plaintext 

ale nie wiem jak tu ustawić , że ma być zalogowany admin....

A w pliku login mam przekierowanie...

[PHP] pobierz, plaintext 
if ($_POST['login']==$login and $_POST['haslo']==$haslo){
include('admin/admin.php');
header('Location:./admin/panel_admin.php');
}
[PHP] pobierz, plaintext 

Może spróbuj coś w ten deseń:

[PHP] pobierz, plaintext 
 
      if ($_POST['login']==$login and $_POST['haslo']==$haslo || !empty($_SESSION['admin'])) {
 
      $_SESSION['admin'] = true;
 
      header('Location:./admin/panel_admin.php');
 
      }
[PHP] pobierz, plaintext 

panel_admin.php:

[PHP] pobierz, plaintext 
<?php
 
if(empty($_SESSION['admin']))
{
echo 'Najpierw się zaloguj...';
exit;
}
 
// dalsza czesc panel_admin.php
 
?>
[PHP] pobierz, plaintext 

Wogóle nie przenosi mnie po zalogowaniu na strone panel admin..
Może nie w tym miejscu umieściłam kod sprawdzania...
Możecie sprawdzić...

[PHP] pobierz, plaintext 
<?php 
 
include ('db.php');
 
 
if(isset($_POST['Zaloguj']))
	{
 
 
			$id=$_POST['id'];
			$login = $_POST['login'];
			$haslo = $_POST['haslo'];
 
			// sprawdzamy czy wszystkie dane zostały podane
			if(empty($login) || empty($haslo))
			{
				echo '<h3>Wpisz wszystkie pola!</h3>';
 
			}
			else
			{
				// filtrujemy dane
				$login = trim(strip_tags( mysql_real_escape_string( HTMLSpecialChars($login))));
				$haslo = trim(strip_tags( mysql_real_escape_string( HTMLSpecialChars($haslo))));
 
				// kodujemy hasło
				$haslo = md5($haslo);
 
				// sprawdzamy czy istnieje użytkownik z takim loginem i hasłem
					$result = mysql_query("SELECT * FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'");
 
					if(!mysql_num_rows($result))
 
					echo '<h3> Niestety podałęs niepoprawne dane!</h3>';
 
												else
                        {
                                // dodajemy wynik zapytania do tablicy
                                $row = mysql_fetch_assoc($result);
 
                                // ustawianie sesji że użytkownik jest zalogowany
                                $_SESSION['logged'] = true;
 
																// dodawanie do sesji loginu 
 
                                $_SESSION['login'] = $row['login'];
																$_SESSION['id'] = $row['id'];
 
 
 
												}				
				}	
	}				
 
// sprawdzamy czy user jest już zalogowany
if(isset($_SESSION['login'])) 
{
if ($_POST['login']==$login and $_POST['haslo']==$haslo || !empty($_SESSION['admin'])) { 
 
$_SESSION['admin'] = true;
 
header('Location:./admin/panel_admin.php');
 
}	
 
        // wyświetlamy userowi jego dane
        echo '<h3><br />Witaj '.$_SESSION['login'].'!<br /></h3>';
 
 
$zapytanieSelect="SELECT ostatnie_log FROM uzytkownicy WHERE login='$login'";
 
$wykonaj = mysql_query ($zapytanieSelect);
 
$wiersz=mysql_fetch_array($wykonaj);
echo'<h4>Data ostatniego logowania:</h4>';
echo  $wiersz[6]."<br>";
 
echo'
<form action="wyloguj.php" method="post" >
 
				<a href="edytujprofil.php">Edytuj profil</a><br/>
				<a href="dodajplik.php">Dodaj pliki</a><br />
				<a href="dodajkomentarz.php">Dodaj komentarz</a><br />
				<a href="wiadomosci/dodajwiadomosc.php">Prywatne wiadomości</a>
 
<p>
<input type="submit" name="Wyloguj" value="Wyloguj" size="20"  class="button">
</p>
 
</form>';
 
}
header('Location: '.$_POST['URI']);
 
// rozłączenie z bazą danych
mysql_close();
 
?>
[PHP] pobierz, plaintext 

Włącz raportowanie błędów i powiedz czym sypie.
Na początku pliku dodaj session_start().

1. Zobacz, czy na początku pliku nie masz jakichś znaków (nawet zwykłej spacji) i jeśli plik jest kodowany w UTF-8, to czy jest kodowany bez nagłówka BOM

2. Nie wiem po co to dałaś:



bo:
a.) To i tak nie zadziała, bo wyżej wyświetlasz dane
b.) Jakby działało, to skrypt byłby podatny na Phishing

3. Po co te całe htmlspecialchars na dane jeśli:
a.) hasło i tak jest kodowane md5, więc i tak bazie nie zagrozi
b.) mysql_real_escape_string() wystarczy do zabezpieczenia przed SQL Injection
c.) Jak usuniesz stamtąd htmlspecialchars(), to uzywaj go przy wyświetlaniu danych.

1.Funkcja usuwająca spacje -trim ,jeden kłopot mniej
3.Funkcje typu htmlspecialchars,htmlentities - konwertują znaki specjalne na Encje-jak użyjesz polskiej literki to funkcja potraktuje ją jak znak specjalny i zamieni np. "ó" na &auml -jednakże funkcje te chronią przed atakami XSS jak również addslashes i stripsslashes dodające lub ujmujące w określonych przypadkach ukośniki.Chronią one dokument php przed atakami XSS nie SQLInjection-do tego służy właśnie mysql_real_escape_string() która bezpośrednio zabezpiecza bazę danych.Najlepszym sposobem zabezpieczenia pól według mnie jest zastosowanie wyrażeń regularnych poprzez funkcje preg_match ,ja staram się używać całego dostępnego"arsenału" aby zabezpieczyć i dokument i bazę danych.Nic to nie zaszkodzi przecież

header('Location: '.$_POST['URI']);

Dałam to po to , żeby logowanie odbywało się na tej stronie na której się znajduję... i to działa...

A chciałam tez aby po wpisaniu logina i hasla admina przenosilo mnie na strone panel admin... Bo nie chce panela umieszczać w menu, tylko zeby byl dostepny jak sie zaloguje na admina...

Bardzo fajnie, że podałeś błędne definicje i błędne założenia, a do tego nie przeczytałeś tego co napisałem, a ponadto podałeś błędne wnioski. Więc powiedz mi, po co to napisałeś ?



Dokładnie to samo by się działo, jakbyś usunęła tę linijkę, ale jeśli Cię uszczęśliwia to możesz ją zostawić

Zwróć uwagę na 1 punkt mojego poprzedniego postu (jeśli cokolwiek wyświetlasz przed podaniem header, to nie zostanie wykonany ten header), a ponadto na początku swojego pliku wklej:

[PHP] pobierz, plaintext 
error_reporting(E_ALL);
 
echo ini_get('display_errors') ? '' : 'WLACZ DYREKTYWE DISPLAY_ERRORS';
[PHP] pobierz, plaintext 

I zobacz wynik, szczególnie zwróć uwagę na błędy typu 'headers already sent...'.

Jeśli to nie zadziała, to ściągnij wtyczkę podglądającą nagłówki HTTP, np. Tamper Data i zobacz czy nagłówek Location jest na pewno przesyłany.

Kodowanie jest ok...

Włączyłam raportowanie błędów i nic nie pokazuje ...

Przerobiłam trochę i pokazuje mi błędy... i logowanie dziala na stronie na której aktualnie jestem .... Ale nie działa przekierowanie na panel admina...
Nie pokazuja się błędy typu header...

[PHP] pobierz, plaintext 
<?php 
 
include ('db.php');
 
 
if(isset($_POST['Zaloguj']))
	{
 
 
			$id=$_POST['id'];
			$login = $_POST['login'];
			$haslo = $_POST['haslo'];
 
			// sprawdzamy czy wszystkie dane zostały podane
			if(empty($login) || empty($haslo))
			{
				echo '<h3>Wpisz wszystkie pola!</h3>';
				echo '<meta http-equiv="refresh" content="3; URL=../index.php">';
 
			}
			else
			{
				// filtrujemy dane
				$login = trim(strip_tags( mysql_real_escape_string($login)));
				$haslo = trim(strip_tags( mysql_real_escape_string($haslo)));
 
				// kodujemy hasło
				$haslo = md5($haslo);
 
				// sprawdzamy czy istnieje użytkownik z takim loginem i hasłem
					$result = mysql_query("SELECT * FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'");
 
					if(!mysql_num_rows($result))
 
					echo '<h3> Niestety podałeś niepoprawne dane!</h3>
								<meta http-equiv="refresh" content="3; URL=../index.php">';
 
												else
                        {
                                // dodajemy wynik zapytania do tablicy
                                $row = mysql_fetch_assoc($result);
 
                                // ustawianie sesji że użytkownik jest zalogowany
                                $_SESSION['logged'] = true;
 
																// dodawanie do sesji loginu 
 
                                $_SESSION['login'] = $row['login'];
																$_SESSION['id'] = $row['id'];
 
 
 
												}				
				}	
	}				
 
// sprawdzamy czy user jest już zalogowany
		if(isset($_SESSION['login'])) 
{
		header('Location: '.$_POST['URI']);
 
        // wyświetlamy userowi jego dane
        echo '<h3><br />Witaj '.$_SESSION['login'].'!<br /></h3>';
 
 
$zapytanieSelect="SELECT ostatnie_log FROM uzytkownicy WHERE login='$login'";
 
$wykonaj = mysql_query ($zapytanieSelect);
 
$wiersz=mysql_fetch_array($wykonaj);
echo'<h4>Data ostatniego logowania:</h4>';
echo  $wiersz[6]."<br>";
 
echo'
<form action="wyloguj.php" method="post" >
 
				<a href="edytujprofil.php">Edytuj profil</a><br/>
				<a href="dodajplik.php">Dodaj pliki</a><br />
				<a href="dodajkomentarz.php">Dodaj komentarz</a><br />
				<a href="wiadomosci/dodajwiadomosc.php">Prywatne wiadomości</a>
 
<p>
<input type="submit" name="Wyloguj" value="Wyloguj" size="20"  class="button">
</p>
 
</form>';
 
}
else 
		{
			if ($_POST['login']==$login and $_POST['haslo']==$haslo || !empty($_SESSION['admin'])) 
	{ 
 
		$_SESSION['admin'] = true;
            header('Location:admin/panel_admin.php') ;
 
	}
		}	
 
 
// rozłączenie z bazą danych
mysql_close();
 
?>
[PHP] pobierz, plaintext 

To może napisz jakie błędy się pokazują.
A tak poza tym to:
1. Zakładam że session_start() jest w pliku db.php albo jakimś wcześniejszym, bo jeżeli go nie ma to całość nie ma sensu.
2. "else" z linijki 89 ( ten co ma przekierować ) wykona się tylko gdy użytkownik nie jest zalogowany ( patrz "if" z linijki 58 ) co miało by sens gdyby konto admina nie było wpisane do bazy danych.
3. "if" z linijki 91 jest moim zdaniem bez sensu ze względu na linijki 11, 12 oraz 24, 25, 28. $login będzie "prawie" zawsze zgodny z $_POST['login'] a $haslo z $_POST['haslo'] nigdy! Pomijając fakt że to wygląda tak jakby każdy był adminem O.O

Poprawcie mnie jeżeli coś źle zrozumiałem/napisałem

EDIT: Znalazłem trochę czasu więc takie coś:

Zakładając że admin loguje się jak każdy normalny użytkownik i ma konto wpisane do bazy danych:

[PHP] pobierz, plaintext 
<?php
include ('db.php');
 
if(isset($_POST['Zaloguj']))
{
 
 
	$id=$_POST['id'];
	$login = $_POST['login'];
	$haslo = $_POST['haslo'];
 
	// sprawdzamy czy wszystkie dane zostały podane
	if(empty($login) || empty($haslo))
	{
		echo '<h3>Wpisz wszystkie pola!</h3>';
		echo '<meta http-equiv="refresh" content="3; URL=../index.php">';
 
	}
	else
	{
		// filtrujemy dane
		$login = trim(strip_tags( mysql_real_escape_string($login)));
		$haslo = trim(strip_tags( mysql_real_escape_string($haslo)));
 
		// kodujemy hasło
		$haslo = md5($haslo);
 
		// sprawdzamy czy istnieje użytkownik z takim loginem i hasłem
		$result = mysql_query("SELECT * FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'");
 
		if(!mysql_num_rows($result)) echo '<h3> Niestety podałeś niepoprawne dane!</h3> <meta http-equiv="refresh" content="3; URL=../index.php">';
		else
		{
			// dodajemy wynik zapytania do tablicy
			$row = mysql_fetch_assoc($result); 
			// ustawianie sesji że użytkownik jest zalogowany
			$_SESSION['logged'] = true; 
			// dodawanie do sesji loginu  
			$_SESSION['login'] = $row['login'];
			$_SESSION['id'] = $row['id'];
		}				
	}	
}				
 
// sprawdzamy czy user jest już zalogowany
if(isset($_SESSION['login'])) 
{
	// to przenosi admina do panel_admin.php
	$LOGIN_ADMINA = 'admin';
	if ( $LOGIN_ADMINA == $_SESSION['login'] || $_SESSION['admin'] == true )
	{
		$_SESSION['admin'] = true;
		header('Location: admin/panel_admin.php');
		exit;
	}
 
	header('Location: '.$_POST['URI']); 
    // wyświetlamy userowi jego dane
	echo '<h3><br />Witaj '.$_SESSION['login'].'!<br /></h3>';
 
 
	$zapytanieSelect="SELECT ostatnie_log FROM uzytkownicy WHERE login='$login'"; 
	$wykonaj = mysql_query ($zapytanieSelect); 
	$wiersz=mysql_fetch_array($wykonaj);
	echo  '<h4>Data ostatniego logowania:</h4>';
	echo  $wiersz[6]."<br>";
 
	echo	'<form action="wyloguj.php" method="post" > 
			<a href="edytujprofil.php">Edytuj profil</a><br/>
			<a href="dodajplik.php">Dodaj pliki</a><br />
			<a href="dodajkomentarz.php">Dodaj komentarz</a><br />
			<a href="wiadomosci/dodajwiadomosc.php">Prywatne wiadomości</a><p>
			<input type="submit" name="Wyloguj" value="Wyloguj" size="20"  class="button">
			</p></form>'; 
}
 
 
// rozłączenie z bazą danych
mysql_close(); 
?>
[PHP] pobierz, plaintext 

Ustawiasz login admina w zmiennej w linijce 49 i powinno działać.
PS. Pozwoliłem sobie trochę .... wytrimować(?) kod

WIELKIE DZIĘKI

Działa ...

Plusik dla CIEBIE