PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (4): « 1 2 [3] 4 »

Описание: Авторизация админа (сессии, куки и еще пару вопросов) - посмотрите код

Поиск в теме | Версия для печати

soffrick	Отправлено: 15 Июня, 2013 - 21:30:13
Посетитель Покинул форум Сообщений всего: 379 Дата рег-ции: Май 2012 Откуда: Россия, Москва Помог: 17 раз(а)	наверно и выборку надо делать перечисляя все поля, пусть их будет даже больше 20, вместо того чтобы использовать * ----- Правильный вопрос - уже половина правильного ответа! p.s. индусы повсюду, будьте осторожны!

caballero	Отправлено: 15 Июня, 2013 - 21:38:14
Активный участник Покинул форум Сообщений всего: 5998 Дата рег-ции: Сент. 2011 Откуда: Харьков Помог: 126 раз(а)	Цитата: наверно и выборку надо делать перечисляя все поля, пусть их будет даже больше 20, вместо того чтобы использовать если писать грамотно то да желательно делать именно так. Хотя и не всегда есть смысл ----- Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Hapson	Отправлено: 15 Июня, 2013 - 21:40:06
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	soffrick пишет: наверно и выборку надо делать перечисляя все поля, пусть их будет даже больше 20, вместо того чтобы использовать * Я ж учусь... Этот косяк я уже понял (Добавление) Уффффф!!!!! Я уже ничего не понимаю.... Почему после выхода из админки и нажатия кнопки назад в браузере, я снова авторизован??? Приведу еще раз файлы, немного измененные. Входим в админку Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php define('DANGER', 1); define('ROOT', dirname(__DIR__)); include_once ROOT . '/inc/fun.php'; //подключаем функции cms_install(); //проверяем установлена ли CMS include_once ROOT . '/config.php'; //подключаем конфиг db_connect(); //соединяемся с БД include_once ROOT . '/admin/modules/auth/auth.php'; //авторизация админа //если авторизация в auth.php прошла, показываем админку if($user_status == 1){ include_once ROOT . '/admin/template/index_adm.php'; } ?> Читается конфиг, функции и далее входим в auth.php Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); session_start(); //обнуляем статус пользователя //всего 4 статуса: 0 - гость, 1 - админ, 2 - модератор, 3 - пользователь $user_status = 0; if(isset($_GET['exit']) == 'ok'){ unset($_SESSION['id']); } //проверяем, есть ли id пользователя в сессии if(!empty($_SESSION['id']) /&& empty($_GET['exit'])/){ //если id есть, то выбираем все данные на пользователя, согласно id в сессии $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "users` where `id` = '" . $_SESSION['id'] . "'"); //если данные выбрали... if(mysql_num_rows($auth) > 0){ //собираем данные в массив $user_info = mysql_fetch_array($auth); } //проверяем соответствует ли статус из выбранных данных статусу админа (1) if($user_info['status'] == 1){ //если да, то все ОК - пользователь действительно админ, если нет, то идем дальше $user_status = 1; $user_id = $user_info['id']; $user_login = $user_info['login']; $user_password = $user_info['password']; } } //если была нажата кнопка войти в форме авторизации if(!empty($_POST['auth'])){ //заполнены ли поля? if(empty($_POST['login']) \|\| empty($_POST['password'])){ echo 'Вы заполнили не все поля'; }else{ $user_login = $_POST['login']; $user_password = $_POST['password']; //смотрим в базу, есть ли совпадение логин-пароль $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "users` where `login` = '" . $user_login . "' and `password` = '" . $user_password . "'"); //если есть совпадение... if(mysql_num_rows($auth) > 0){ //собираем данные пользователя $user_info = mysql_fetch_array($auth); //если в выбранных данных статус пользователя 1,то все ОК - это админ пришел if($user_info['status'] == 1){ $user_status = 1; $user_id = $user_info['id']; $user_login = $user_info['login']; $user_password = $user_info['password']; $_SESSION['id'] = $user_info['id']; }else{ //если статус не равен 1, значит это не админ - отправляем пользователя на главную echo 'У вас недостаточно прав'; redirect('/',3); } }else{ echo 'Введенные вами данные не верны. Проверьте правильность ввода логина и пароля'; } } } if($user_status == 0){ include ROOT . '/admin/modules/auth/auth_form.php'; } ?> Далее в форму авторизации Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> <title>Вход в административную панель</title> <meta name="keywords" content="" /> <meta name="description" content="" /> <meta http-equiv="Content-Language" content="ru" /> <meta http-equiv="Content-Type" content="text/html;charset=utf-8" /> <link rel="shortcut icon" href="template/<?php TEMPLATE; ?>/favicon.ico" /> <!--<link rel="stylesheet" type="text/css" href="/admin/template/style/style_adm.css" />--> </head> <body> <div style="position:absolute; width:auto; height:auto; left:50%; top:50%; margin-left:-150px; margin-top:-100px; background-color:#d3d3d3; color:#000; border:1px solid #000; border-radius:5px; padding:10px; font:normal 14px sans-serif, arial; overflow:auto;"> <form action="/admin/index.php" method="POST"> Логин:<br> <input type="text" name="login" size="30" /><br> Пароль:<br> <input type="text" name="password" size="30" /><br> <input type="submit" name="auth" value="Войти" /> </form> </div> </body> </html> Файл админки пропускается, так как $user_status != 1 После авторизации попадаем в админку Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> <title>Административная панель</title> <meta name="keywords" content="" /> <meta name="description" content="" /> <meta http-equiv="Content-Language" content="ru" /> <meta http-equiv="Content-Type" content="text/html;charset=utf-8" /> <link rel="shortcut icon" href="template/<?php TEMPLATE; ?>/favicon.ico" /> <link rel="stylesheet" type="text/css" href="/admin/template/style/style_adm.css" /> </head> <body> <div class="all"> <div class="header"> <div class="top_line"> <p><b>Привет <?php echo $user_info['login']; ?></b>. <a href="http://test/admin/index.php?exit=ok">Выйти</a></p> <p><?php echo $user_status = 1 ? 'Статус равен 1' : 'Статус не равен 1'; ?></p> </div> <div class="logo"> </div> <div class="top_menu"> </div> </div> <div class="main_container"> <div class="left"> </div> <div class="content"> </div> </div> </div> <div class="footer"> </div> </body> </html> Здесь есть кнопка выхода: <a href="http://test/admin/index.php?exit=ok">Выйти</a> Нажав на эту кнопку, мы снова попадаем на начало index.php далее в auth.php, где по идее юзер должен быть разлогинен. Так оно и происходит. Но если нажать назад в браузере, то я снова в админке! Как так? (Отредактировано автором: 15 Июня, 2013 - 22:25:20) ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

DeepVarvar	Отправлено: 15 Июня, 2013 - 22:28:44
Активный участник Покинул форум Сообщений всего: 10377 Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра Помог: 353 раз(а)	Цитата: а что можно там оставить/хранить, после того как пользователь выполнит логаут? 1) Верный ответ капчи. 2) Реферер. 3) Данные заполненной формы, чтобы при ошибке заново не вводил. 4) Данные зашедшего через OpenID. 5) Элементы, являющиеся зависимыми к еще не созданному родительскому. 6) Ключик, для расшифровки ответа от стороннего сервиса. Хватит? ----- Шта? Репозиторий?

Мелкий	Отправлено: 15 Июня, 2013 - 22:38:49
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Hapson пишет: Почему после выхода из админки и нажатия кнопки назад в браузере, я снова авторизован??? Вы НЕ авторизованы, страница открыта из кэша браузера. Попробуйте что-нибудь сделать и получите отказ доступа. ----- PostgreSQL DBA

teddy	Отправлено: 15 Июня, 2013 - 23:13:52
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	caballero Хм... извини, но где ты увидел, что я вызвал эту функцию??? Я лишь протицировал код ТС и задал ему вопрос, почему он написал именно так. PHP: скопировать код в буфер обмена if(isset($_GET['logout'])){ unset($_SESSION['login']); header("Location: index.php"); exit; } Это единственный кусок кода в данном топике, который я писал сам. Так где здесь ты увидел session_destroy() ? Я что то не вижу что бы я такое писал от себя...

Hapson	Отправлено: 15 Июня, 2013 - 23:23:15
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	[quote=Мелкий][quote=Hapson] Вы НЕ авторизованы, страница открыта из кэша браузера.[/quote] Да, действительно. [quote=Мелкий] Hapson пишет: Попробуйте что-нибудь сделать и получите отказ доступа. Там пусто - делать нечего было Вставил тупо ссылку <a href="/admin/index.php">Обновить</a> И по нажатию вылет из админки на форму авторизации. Спасибо. ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

caballero	Отправлено: 15 Июня, 2013 - 23:25:27
Активный участник Покинул форум Сообщений всего: 5998 Дата рег-ции: Сент. 2011 Откуда: Харьков Помог: 126 раз(а)	Цитата: но где ты увидел, что я вызвал эту функцию??? Я лишь протицировал код ТС и задал ему вопрос, почему он написал именно так. какая разница кто ее вызвал - суть дела от этого не меняется не надо этого делать ни тебе ни ТС. ----- Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Hapson	Отправлено: 15 Июня, 2013 - 23:27:41
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	teddy А что можно использовать, если header("Location: index.php"); вызывает ошибку? Я вот что нашел, не знаю, корректно ли это CODE (htmlphp): скопировать код в буфер обмена function redirect($url, $timer = 0){ echo '<meta http-equiv="refresh" content="' . $timer . '; url=' . $url . '">'; } //а далее redirect('нужный урл', время в сек); caballero пишет: какая разница кто ее вызвал - суть дела от этого не меняется не надо этого делать ни тебе ни ТС. ну я так понял unset($_SESSION['id']) достаточно? ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

teddy	Отправлено: 15 Июня, 2013 - 23:28:10
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	caballero Так я и не делал ) это была просто цитата... мне стало интересно, не более... как заметно я сам использую unset, а не session_destroy() ...

Hapson	Отправлено: 15 Июня, 2013 - 23:33:43
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	Спойлер (Отобразить) Ну и еще такой вопросик. Вот кусок кода CODE (htmlphp): скопировать код в буфер обмена //смотрим в базу, есть ли совпадение логин-пароль $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "users` where `login` = '" . $user_login . "' and `password` = '" . $user_password . "'"); //если есть совпадение... if(mysql_num_rows($auth) > 0){ //собираем данные пользователя $user_info = mysql_fetch_array($auth); //если в выбранных данных статус пользователя 1,то все ОК - это админ пришел if($user_info['status'] == 1){ $user_status = 1; $user_id = $user_info['id']; $user_login = $user_info['login']; $user_password = $user_info['password']; $_SESSION['id'] = $user_info['id']; }else{ //если статус не равен 1, значит это не админ - отправляем пользователя на главную echo 'У вас недостаточно прав'; redirect('/',3); } }else{ echo 'Введенные вами данные не верны. Проверьте правильность ввода логина и пароля'; } } } А потом CODE (htmlphp): скопировать код в буфер обмена echo var_dump($user_info); Спойлер (Отобразить) показывает вот что array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(6) "tester" ["login"]=> string(6) "tester" [2]=> string(6) "tester" ["password"]=> string(6) "tester" [3]=> string(1) "1" ["status"]=> string(1) "1" } Откуда дубли? Вопрос снят mysql_fetch_assoc mysql_fetch_array (Отредактировано автором: 15 Июня, 2013 - 23:43:29) ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

teddy	Отправлено: 15 Июня, 2013 - 23:37:12
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	Hapson Ошибок быть не должно. Вставляйте этот код в "шапку" файла и все будет работать. Данные GET параметра можете установить конечно же свои. И файл по своему назвать ) Ошибка может быть в случае если вы отправляете заголовок после любого вывода в браузер либо в файле присутствует BOM...

Hapson	Отправлено: 15 Июня, 2013 - 23:40:00
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	teddy пишет: Hapson Ошибок быть не должно. Вставляйте этот код в "шапку" файла и все будет работать. Данные GET параметра можете установить конечно же свои. И файл по своему назвать ) Ошибка может быть в случае если вы отправляете заголовок после любого вывода в браузер либо в файле присутствует BOM... Понятно, спасибо. Ну да, ошибка когда уже что-то выводилось (Добавление) Так что лучше загонять в массив сессии? id или логин-пароль? Безопасно ли отдавать в сессию логин-пароль? Спойлер (Отобразить) Кстати вот что еще интересно. А зачем в джумле, логин-пароль админа лежат в файле конфига? ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

teddy	Отправлено: 15 Июня, 2013 - 23:58:40
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	Hapson пишет: Так что лучше загонять в массив сессии? id или логин-пароль? Думаю одного логина будет достаточно при грамотном подходе. А на основе этой сессии уже разруливать код... Хотя тут все зависит от того, что вы хотите сделать ) я так особо не вчитывался во весь топик, особенно в код... Тоесть если пользователь авторизован, то записываем логин в сессию, а дальше уже используем логин для того, что нам нужно... А поля для авторизации убираем. И лучше запретить к полям для авторизации доступ вообще через прямой путь, коль уж авторизовались...

Hapson	Отправлено: 16 Июня, 2013 - 00:12:28
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	teddy пишет: Hapson пишет: Так что лучше загонять в массив сессии? id или логин-пароль? Думаю одного логина будет достаточно при грамотном подходе. А на основе этой сессии уже разруливать код... Хотя тут все зависит от того, что вы хотите сделать ) я так особо не вчитывался во весь топик, особенно в код... Тоесть если пользователь авторизован, то записываем логин в сессию, а дальше уже используем логин для того, что нам нужно... А поля для авторизации убираем. И лучше запретить к полям для авторизации доступ вообще через прямой путь, коль уж авторизовались... Ну форма авторизации только через index.php админки открывается, больше никак. Или я что-то не понял? Вообще это форма авторизации только для админа. Для юзеров будет другая. Вот я что думаю... для юзеров тоже сессии использовать? ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

Поиск в теме | Версия для печати

Страниц (4): « 1 2 [3] 4 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.