PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Проверте пожалуйста

Форумы портала PHP.SU » PHP » Напишите за меня, пожалуйста (Модератор: SAD)

Страниц (1): [1]

Описание: Очень нужны Ваши замечания

Поиск в теме | Версия для печати

OverNik	Отправлено: 29 Октября, 2009 - 15:25:43
Частый гость Покинул форум Сообщений всего: 182 Дата рег-ции: Янв. 2008 Помог: 0 раз(а)	Скрипт авторизации index.php (Отобразить) PHP: скопировать код в буфер обмена <? include('filtr.php'); include('mysql.php'); //проверка куков $enter = 0; if(isset($_COOKIE['user']) or isset($_COOKIE['psw']) or $enter ==1) { //Фильтрация логина $login = $_COOKIE['login']; filtr($login, 0); $login = $filtr; //фильтрация пароля $psw = $_COOKIE['psw']; filtr($psw, 0); $psw = $filtr; $sql = "SELECT * FROM user WHERE user = '".$login."' LIMIT 1"; $check = mysql_fetch_array(mysql_query($sql)); if($check['psw'] == $psw) { $enter = 1; } } //Для откладки, форма входа /* echo "<p align=center>".$_GET['echo']."\n"; echo "<form action='?enter' method='POST'><br>\n"; echo "<input type='text' name='login'><br>\n"; echo "<input type='password' name='psw'><br>\n"; echo "<input type='submit'>\n"; echo "</form>\n"; echo "<p>".$enter."</p>\n" / //Авторизация if(isset($_GET['enter'])) { //фильтрация логина $login = $_POST['login']; filtr($login, 0); $login = $filtr; //фильтрация пароля $psw = $_POST['psw']; $psw = filtr($psw, 0); $psw = $filtr; $sql = "SELECT user,psw FROM user WHERE user = '".$login."' LIMIT 1"; $enter = mysql_fetch_array(mysql_query($sql)); if($enter['psw'] == $psw && $psw != "" && $login != "") { setcookie("login", $login, time()+3600); setcookie("psw", $psw, time()+3600); //echo "Yes"; header('location: index.php?echo=Авторизация успешна'); exit(); } else { //echo "No"; header('location: index.php?echo=Указанного Вами пользователя не найдено, или неверный пароль'); exit(); } } //Выход if(isset($_GET['exit'])) { setcookie("login", "", time()+3600); setcookie("psw", "", time()+3600); header('location: index.php?echo=Вы успешно вышли с профиля'); exit(); } ?> filtr.php* (Отобразить) PHP: скопировать код в буфер обмена <? function filtr($text,$prob = 1) { global $filtr; if($prob==1) { $pattern = array( //выражение для замены спец символов ; # & '/(;)/ie', '/(#)/ie', '/(&)/ie', //защита mysql от иньекции '/(ACTION)/ie', '/(ADD)/ie', '/(ALL)/ie', '/(ALTER)/ie', '/(ANALYZE)/ie', '/(AND)/ie', '/(AS)/ie', '/(ASC)/ie', //замена спец символов < > . , ? ` ! @ $ % ^ * ( ) _ - + = / \ ' " : '/(<)/ie', '/(>)/ie', '/(\.)/ie', '/(,)/ie', '/(\?)/ie', '/(`)/ie', '/(!)/ie', '/(@)/ie', '/(\$)/ie', '/(%)/ie', '/(\^)/ie', '/(\)/ie', '/($)/ie', '/($)/ie', '/(_)/ie', '/(-)/ie', '/(\+)/ie', '/(=)/ie', '/(\/)/ie', '/(\\|)/ie', '/(\\\)/ie', "/(')/ie", '/(")/ie', '/(:)/' ); } else if($prob==0) { $pattern = array( //выражение для замены спец символов ; # & '/(;)/ie', '/(#)/ie', '/(&)/ie', //защита mysql от иньекции '/(ACTION)/ie', '/(ADD)/ie', '/(ALL)/ie', '/(ALTER)/ie', '/(ANALYZE)/ie', '/(AND)/ie', '/(AS)/ie', '/(ASC)/ie', //замена спец символов < > . , ? ` ! @ $ % ^ ( ) _ - + = / \ ' " : '/(<)/ie', '/(>)/ie', '/(\.)/ie', '/(,)/ie', '/(\?)/ie', '/(`)/ie', '/(!)/ie', '/(@)/ie', '/(\$)/ie', '/(%)/ie', '/(\^)/ie', '/(\)/ie', '/($)/ie', '/($)/ie', '/(_)/ie', '/(-)/ie', '/(\+)/ie', '/(=)/ie', '/(\/)/ie', '/(\\|)/ie', '/(\\\)/ie', "/(')/ie", '/(")/ie', '/(:)/', //Пробел '/ /ie', ); } $filtr = preg_replace($pattern, "", $text); }; ?> mysql.php* (Отобразить) PHP: скопировать код в буфер обмена <? $host = "localhost"; $user = "root"; $psw = ""; $db = "mysite"; mysql_connect($host, $user, $psw); mysql_select_db($db); ?> в файле mysql.php проверок на подключения пока нету, поставлю позже, так же нету проверок или файл вызивается с index.php, прошу по этим вопросам замечания не писать. Скрипт работает так: Если человек авторизирован, при генерации страници будет проверятся его куки с логином и паролем, если же не совпадают то переменая $enter = 0, если совпадают то $enter =1 Дальше уже так: PHP: скопировать код в буфер обмена if($enter==1) { echo "текст для зарегестрированого пользивателя"; } else if($enter==0) { echo "текст для не зарегестрированого пользивателя"; } Дамп базы думаю не нужен так как там всего три столбца, id \| user \| psw Спасибо!

Sajaxt	Отправлено: 30 Октября, 2009 - 11:48:55
Новичок Покинул форум Сообщений всего: 12 Дата рег-ции: Окт. 2009 Помог: 0 раз(а)	Я конечно программист не опытный и начинающий, но кажется что зря Вы функцию filtr() писали. Есть такая функция mysql_real_escape_string(), она как раз занимается экранированием спецсимволов и т.д. И надеюсь никто не обидится, я тоже хотел кинуть на обсуждение скрипт авторизации но тему уже открыли, поэтому выложу сюда свой скрипт: dbaccsess.php PHP: скопировать код в буфер обмена <?PHP //*******Datenbankanschluss**********// //------Vipolnenije Zaprosa----------------- function DBconnect(){ $con_id = @mysql_connect("localhost","root","") or die("Не могу соедениться с сервером"); @mysql_select_db("probe",$con_id) or die("Не могу соедениться с БД"); return $con_id; } function DBresult($query,$flag){ $dbresult = mysql_query($query); if($flag==1){ return mysql_fetch_array($dbresult); }else{ return $dbresult; } } function DBdisconnect($con_id){ @mysql_close($con_id) or die("соеденение с сервером не было завершино"); } ?> authorization.php PHP:** скопировать код в буфер обмена /таблица пользователей CREATE TABLE `probe`.`user` ( `id` INT( 10 ) NOT NULL AUTO_INCREMENT PRIMARY KEY , `email` VARCHAR( 60 ) NOT NULL , `pswrd` VARCHAR( 80 ) NOT NULL , `hash` VARCHAR( 100 ) NOT NULL , `ip` VARCHAR( 20 ) NOT NULL , `log_time` INT( 30 ) NOT NULL ) ENGINE = MYISAM ; / <?PHP session_start(); include("../scriptparts/dbaccess.php"); $con_id=DBconnect(); if(isset($_POST['no_hash'])){//Проверяем перешелли пользователь на страницу с формы if($_POST['email']=='undefined' or $_POST['email']=="") die("Вы не заполнели поле электроной почты!"); if($_POST['pswrd']=='undefined' or $_POST['pswrd']=="") die("Вы не ввели пароль!"); $email = mysql_real_escape_string($_POST['email']); $pot_user=DBresult("SELECT id,pswrd FROM user WHERE email='$email' LIMIT 1",1); if(!$pot_user){ die("Вы не зарегестрированы в системе!"); }elseif(md5($_POST['pswrd'])!=$pot_user['pswrd']){ die("Вы ввели не верный пароль!"); }else{ $hash=md5(uniqid()); $ip=$_SERVER["REMOTE_ADDR"]; log_time=time(); $_SESSION['hash']=$hash; $_SESSION['log_time']=$log_time; DBresult("UPDATE user SET hash='$hash',ip='$ip',log_time='$log_time' WHERE email='$email'",0); } }elseif(isset($_SESSION['hash'])){// Былли пользователь уже авторизирован $ip=$_SERVER["REMOTE_ADDR"]; $pot_user=DBresult("SELECT hash,log_time FROM user WHERE ip='$ip' LIMIT 1",1); if(!$pot_user){ die("Вы не авторизированы!"); }elseif((time()-3600)>$pot_user['log_time']){ die("Время сессии истекло!"); }elseif($_SESSION['hash']!=$pot_user['hash']){ die("Вы не авторизированы!"); }else{ DBresult("UPDATE user SET log_time='".time()."' WHERE ip='$ip' LIMIT 1",0); } }else{ DBdisconnect($con_id); die("Вы не авторизированы"); } DBdisconnect($con_id); ?> Работает всё так, в начале каждого скрипта вставляется authorazation.php если во время исполнения срипта авторизации ошибок нет, то код доходит до непосредственого исполнения скрипта страницы. Принцип работы: Сначала смотрим, перешелли пользователь на страницу с формы, если да то сравниваем адрес эл. почты и пассворт, и заносим в базу ip пользователя, время авторизации и уникальный хэш, также записываем эти данные в переменный сессии. При последующем вызове скрипта, проверяем естьли переменные сессии и сверяем их, в скрипте всё прокомментировано. Пожалуйста кто поопытней, проверьте скрипт на вшивость, дайте пару советов. Просто хочется написать авторизацию и просто использовать её в дальнейшем. Зарание примного благодарен!

OverNik	Отправлено: 30 Октября, 2009 - 15:37:22
Частый гость Покинул форум Сообщений всего: 182 Дата рег-ции: Янв. 2008 Помог: 0 раз(а)	в будущем функция фильтр очень пригодится, от инъекций и XSS

lolo	Отправлено: 30 Октября, 2009 - 16:34:21
Новичок Покинул форум Сообщений всего: 7 Дата рег-ции: Окт. 2009 Откуда: Москва Помог: 0 раз(а)	OverNik, извините, но уже с самого начала код не гуд. PHP: скопировать код в буфер обмена //проверка куков $enter = 0; if(isset($_COOKIE['user']) or isset($_COOKIE['psw']) or $enter ==1) // Такс, проверяете, установлено ли в куку 'user' ИЛИ 'psw' - то есть вам все равно, что из этого установлено? И зачем проверка $enter ==1, если вы строкой выше установили эту переменную равной нулю? { //Фильтрация логина $login = $_COOKIE['login']; // А установлено ли в куку 'login' вам, судя по условию выше, наплевать? ;) filtr($login, 0); $login = $filtr; // не разбиралась в вашем "фильтре", пока ничего по его поводу не скажу, кроме того, что не правильнее было бы сделать, чтобы функция возвращала значение, а не объявляла какую-то переменную $filtr глобальной? Тогда бы выражение выглядело бы проще: $login = filtr($login, 0); //фильтрация пароля $psw = $_COOKIE['psw']; filtr($psw, 0); $psw = $filtr; // Три строчки можно записать в одну: $psw = filtr($_COOKIE['psw'], 0); Дальше не хватило моих слабых сил разбираться, да и времени в конце рабочего дня в пятницу - тоже (Отредактировано автором: 30 Октября, 2009 - 17:01:57)

OverNik	Отправлено: 30 Октября, 2009 - 19:07:07
Частый гость Покинул форум Сообщений всего: 182 Дата рег-ции: Янв. 2008 Помог: 0 раз(а)	Спасибо, сегодне же исправлю. не совсем понял с функцией filtr, можна пожалуйста подробней (Отредактировано автором: 30 Октября, 2009 - 19:13:10)

lolo	Отправлено: 03 Ноября, 2009 - 10:54:48
Новичок Покинул форум Сообщений всего: 7 Дата рег-ции: Окт. 2009 Откуда: Москва Помог: 0 раз(а)	OverNik пишет: не совсем понял с функцией filtr, можна пожалуйста подробней Во-первых, убрать global $filtr из функции. Во-вторых, почитать про функции побольше Правильнее сделать, чтобы функция возвращала некий результат, который получается после обработки получаемых значений, а не устанавливала какие-то глобальные переменные. PHP: скопировать код в буфер обмена function filtr($text,$prob = 1) { // здесь обработка $text, $prob return preg_replace($pattern, "", $text); // возвращение результата, значение которого примет переменная, если написать напрмер: $var = filtr($x, $y); } Глобальные переменные вообще желательно избегать, дабы исключить возможность создания трудновыявлеямых багов (особенно в больших проектах). А вообще ваша функция filtr искажает данные, тупо выкидывая все нужное и ненужное, например, если у меня логин окажется o'nill, то она будет искать onill или alloy, а будет искать oy. Но это же неверно. Так что правильнее будет просто экранировать спецсимволы функциями addslashes() или mysql_real_escape_string(). И незачем изобретать велосипед, тем более кривой.

Sajaxt	Отправлено: 04 Ноября, 2009 - 23:49:15
Новичок Покинул форум Сообщений всего: 12 Дата рег-ции: Окт. 2009 Помог: 0 раз(а)	Люди добрые а по поводу моего скрипта, ктонить чтонить скажет?

JROUD	Отправлено: 05 Ноября, 2009 - 10:03:56
Гость Покинул форум Сообщений всего: 78 Дата рег-ции: Нояб. 2009 Помог: 0 раз(а)	Sajaxt, большого смысла в функциях DBconnect, DBresult не вижу, но в функции DBdisconnect его вообще нет. Зачем создавать функцию которая передаёт получиное значение другой функции? Да, и я не уверен, но разве не нужно в php указывать void если функция ничего не возвращает?

Мелкий	Отправлено: 05 Ноября, 2009 - 15:13:55
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	JROUD пишет: Да, и я не уверен, но разве не нужно в php указывать void если функция ничего не возвращает? Нет, не надо. Это вы C/C++ перечитали JROUD пишет: большого смысла в функциях DBconnect, DBresult не вижу А если подумать? Это общение с СУБД. JROUD пишет: но в функции DBdisconnect его вообще нет Просто правило хорошего тона, сказать СУБД, что это соединение завершено. ----- PostgreSQL DBA

Champion	Отправлено: 05 Ноября, 2009 - 15:26:30
Активный участник Покинул форум Сообщений всего: 4350 Дата рег-ции: Авг. 2008 Откуда: Москва Помог: 57 раз(а)	Мелкий пишет: А если подумать? Это общение с СУБД. JROUD прав. Мелкий пишет: Просто правило хорошего тона, сказать СУБД, что это соединение завершено. И тут тоже. Вопрос в том, зачем оформлять это в отдельную функцию?

JROUD	Отправлено: 05 Ноября, 2009 - 15:36:03
Гость Покинул форум Сообщений всего: 78 Дата рег-ции: Нояб. 2009 Помог: 0 раз(а)	Мелкий пишет: JROUD пишет: но в функции DBdisconnect его вообще нет Просто правило хорошего тона, сказать СУБД, что это соединение завершено. Я не против того что нужно закрыть соединение с СУБД, я говорю о том что задача функции DBdisconnect вызвать функцию mysql_close, а зачем если можно вызвать сразу mysql_close?

Sajaxt	Отправлено: 05 Ноября, 2009 - 15:47:02
Новичок Покинул форум Сообщений всего: 12 Дата рег-ции: Окт. 2009 Помог: 0 раз(а)	Хорошо спасибо, буду испровлять. А что на счет authorization.php?

Sajaxt	Отправлено: 14 Ноября, 2009 - 13:49:56
Новичок Покинул форум Сообщений всего: 12 Дата рег-ции: Окт. 2009 Помог: 0 раз(а)	Что, никто совсем ничего не скажет?

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Напишите за меня, пожалуйста »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.