Witam was ... Posiadam oto taki skrypt logowania. Wszystko fajnie działa tylko zapisuje on Haał i użytkowników do tabeli w basie msyql niekodowane i mogę wszystko podglądać. Ale to nie najważniejszy problem.

Pewnie dla większości z was nie stanowi peroblemu skopiowanie tego pliku/kodu. A jak wiadomo jest w nim jawne hasło i login do ojej bazy danych ... prosze o pomoc co nalezao by zmienić w tym kodzie aby po mój login i hasło nie było dla nikogo widoczne .... a przy okazji to już nie jest dla mnie takie ważne hasła użytkownika też były kodowane

oto kod:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />
<title>Logowanie</title>
</head>
 
<body>
 
<?php
session_start();
session_register("zalogowany");
 
if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
mysql_connect("localhost", "login", "hasło")or die("Nie można nawiązać połączenia z bazą");
mysql_select_db("Fuli5_login")or die("Wystąpił błąd podczas wybierania bazy danych");
 
function ShowLogin($komunikat=""){
echo "$komunikat<br>";
echo "<form action='index.php' method=post>";
echo "Login: <input type=text name=login><br>";
echo "Hasło: <input type=text name=haslo><br>";
echo "<input type=submit value='Zaloguj!'>";
echo "</form>";
}
 
?>
<!DOCTYPE html 
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
<head>
<title>Portal Klienta</title>
</head>
<body>
<?php
if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
if($_SESSION["zalogowany"]!=1){
if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'"))){
echo "Zalogowano poprawnie. <a href='http://www.finanserzeszow.pl/test/login/private/user.php'>Możesz teraz przejść do Portalu Klienta</a>";
$_SESSION["zalogowany"]=1;
}
else echo ShowLogin("Podano złe dane!!!");
}
else ShowLogin();
}
else{
?>
Zalogowałeś Zalogowany! <br />
<br />
Możesz teraz przejść do <br />
Portalu Klienta, <a href="http://www.finanserzeszow.pl/login/private...">Tutaj </a>
<br />
<br><a href='index.php?wyloguj=tak'>wyloguj się</a>
<?php
}
?>
 
</body>
</html>
<?php mysql_close(); ?></body>
 
</html>
[PHP] pobierz, plaintext 

obejmij to w tagi [PHP] bo nikomu nie będzie się chcialo tego czytać ...

edit:
@down ... wielkie brawa dla kolegi niżej, że się czegoś doczytał z tego kodu ^^

obejmij to w tagi [ php ]
jak piszesz na forum - jak zauważył kolega wyżej!!!!!


login i hasło w twoim przypadku nie jest jawny \
skopiuj stronę na serwer i sprawdź źródło...
to co masz w nawiasach

[PHP] pobierz, plaintext 
<?php
...
?>
[PHP] pobierz, plaintext 

jest częścią dla serwera...

swoją drogą ale masz tam namieszane...

powinno być conajmniej tak:

[HTML] pobierz, plaintext 
<?php session_start();
session_register("zalogowany");
 
if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
mysql_connect("localhost", "login", "hasło")or die("Nie można nawiązać połączenia z bazą");
mysql_select_db("Fuli5_login")or die("Wystąpił błąd podczas wybierania bazy danych");
 
function ShowLogin($komunikat=""){
echo "$komunikat<br>";
echo "<form action='index.php' method=post>";
echo "Login: <input type=text name=login><br>";
echo "Hasło: <input type=text name=haslo><br>";
echo "<input type=submit value='Zaloguj!'>";
echo "</form>";
}
?>
<!DOCTYPE html
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
<head>
<title>Portal Klienta</title>
</head>
<body>
<?php if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
if($_SESSION["zalogowany"]!=1){
if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'"))){
echo "Zalogowano poprawnie. <a href='http://www.finanserzeszow.pl/test/login/private/user.php'>Możesz teraz przejść do Portalu Klienta</a>";
$_SESSION["zalogowany"]=1;
}
else echo ShowLogin("Podano złe dane!!!");
}
else ShowLogin();
}
else{
?>
Zalogowałeś Zalogowany! <br />
<br />
Możesz teraz przejść do <br />
Portalu Klienta, <a href="http://www.finanserzeszow.pl/login/private...">Tutaj </a>
<br />
<br><a href='index.php?wyloguj=tak'>wyloguj się</a>
<?php }
?>
</body>
</html>
[HTML] pobierz, plaintext 

szczerze mowiac nie trzeba sie wczytywac w kod żeby wiedzieć ocb. Fuli widziałeś kiedyś kod skryptow php na stronie bo ja nie. To co jest widoczne dla innych to jedynie fragmenty zwracane przez echo lub print.
Co do kodowania hasel to wystarczy zmienic type z text na password i wez uzywaj cudzysłowów (w znacznikach html)!

co do tej rady, to jeszcze dodam coś od siebie ... używaj również apostrofów przy echo etc. np.

zamiast

[PHP] pobierz, plaintext 
<?php
echo "<img src=\"image.jpg\" width=\"100\" height=\"100\" />";
?>
[PHP] pobierz, plaintext 

wystarczy zrobić coś takiego

[PHP] pobierz, plaintext 
<?php
echo '<img src="image.jpg" width="100" height="100" />';
?>
[PHP] pobierz, plaintext 

Na początku Bardzo przepraszam że nie dałem tagu [PHP] to się uż napewno nie powtórzy..

Tak jak myślałem i jak to było ostatnio, szybko dostałem odpowiedź za co uwarzam to forum za najlepsze...

Z php "zaczynam" przygodę tak wiec bardzo a to bardzo dziękuję .... !