PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация все ли правильно?

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

spok	Отправлено: 10 Ноября, 2010 - 13:04:07
Новичок Покинул форум Сообщений всего: 29 Дата рег-ции: Дек. 2008 Помог: 0 раз(а)	Здравствуйте! Хотелось-бы у профессионалов спросит, все ли в коде авторизаций правильно, или есть что нужно поправить? Желательно с примерами. PHP: скопировать код в буфер обмена <?PHP extract($_POST); unset($login,$pwrd,$id); session_start(); session_register("login","pwrd","id"); if($logout==1){ session_destroy(); header("Location: index.php"); } include "config.php"; include "config_inc.php"; include "error_inc.php"; function auth($log,$pass){ global $t_user; $query = "select id from ".$t_user." where email=\"".$log."\" and pass=\"".$pass."\" "; $result = MYSQL_QUERY($query); if(mysql_num_rows($result)>0){ $id=mysql_result($result,0,"id"); @mysql_free_result($result); return $id; }else{ @mysql_free_result($result); return 0; } } if(auth($_SESSION['login'],$_SESSION['pwrd'])!=0){ header("Location: user_menu.php"); // Авторизация не было так как была действующая ссесия } if($_SERVER['REQUEST_METHOD']=="POST"){ if(isset($lo)){ $log=htmlspecialchars($log); $passwrd=htmlspecialchars($passwrd); $au=auth($log,$passwrd); if($au>0){ $login=$log; $pwrd=$passwrd; $id=$au; header("Location: user_menu.php"); // Аторизация прошла удачно }else{ require('header.php'); print "Авторизация не прошла"; // Авторизация прошла не удачно require('foter.php'); exit; } } }else{ require('header.php'); } ?> // Дальше код ввода данных пользователя для авторизаций

OrmaJever	Отправлено: 10 Ноября, 2010 - 13:25:26
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	Ну мягкоговоря код не очень, но если работает можите пользоватся. только исправьте строку PHP: скопировать код в буфер обмена $query = "select id from ".$t_user." where email=\"".mysql_escape_string($log)."\" and pass=\"".mysql_escape_string($pass)."\" "; без неё это прямая дорога к sql иньекции. ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

spok	Отправлено: 10 Ноября, 2010 - 13:37:59
Новичок Покинул форум Сообщений всего: 29 Дата рег-ции: Дек. 2008 Помог: 0 раз(а)	OrmaJever Спасибо за ответ исправил. Сам код то работает, просто интересуют узкие места данного кода, такие как вы описали. Может еще что ни так в коде? Да и интересует мнение почему код "мягкоговоря не очень", почему?

OrmaJever	Отправлено: 10 Ноября, 2010 - 15:31:11
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	Ну я не буду перечислять ошибки вашего кода но приведу примерный пример моего PHP: скопировать код в буфер обмена function login($login, $pass) { $mysql = mysql_connect(BD_HOST, BD_USER, PASS); mysql_select_db(DATABASE, $mysql); $login = mysql_escape_string(trim($login)); $pass = trim($pass); $lp = mysql_query("SELECT * FROM users WHERE login='".$login."'"); $ob = mysql_fetch_object($lp); if(!isset($login) or !isset($pass)) { return '<span class="err">Заполните поля</span>'; } elseif(!$lp) { return '<span class="err">Логин или пароль не верны</span>'; } elseif($ob->pass == $pass) { session_start(); $cookie = generate_cookie(10, true); //генерирует случайную строку из 10 символов $mysql->query("UPDATE users SET hash='".$cookie."' WHERE login='".$login."'"); setcookie('user', $cookie, time()+9999999, '/'); header('Location:'.$_SERVER['PHP_SELF']); } else { return '<span class="err">Логин или пароль не верны!</span>'; } return false; } вот так я вижу авторизацию ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

spok	Отправлено: 12 Ноября, 2010 - 22:59:55
Новичок Покинул форум Сообщений всего: 29 Дата рег-ции: Дек. 2008 Помог: 0 раз(а)	OrmaJever Спасибо за пример Возник еще один вопрос Например пользователь хотел добавить новость на такой то странице и так как он не вошел на сайт то его перебросило на страницу авторизаций как сделать что-бы после авторизаций его переносло на туже страницу добавления новости и конечно может быть страница добавления с параметрами типа add.php?id=100 Какой переменой можно при первом посещений страницы авторизаций ее вынуть ( то есть вынуть add.php?id=100 )?

Мелкий	Отправлено: 12 Ноября, 2010 - 23:12:03
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	$_SERVER['REQUEST_URI'] ----- PostgreSQL DBA

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.