Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
soffrick пишет:
наверно и выборку надо делать перечисляя все поля, пусть их будет даже больше 20, вместо того чтобы использовать *
Я ж учусь...
Этот косяк я уже понял (Добавление)
Уффффф!!!!!
Я уже ничего не понимаю....
Почему после выхода из админки и нажатия кнопки назад в браузере, я снова авторизован???
Приведу еще раз файлы, немного измененные.
Входим в админку
$auth=mysql_query("select id, login, password, status from `". DB_PREF ."users` where `login` = '".$user_login."' and `password` = '".$user_password."'");
<p><?php echo$user_status=1 ? 'Статус равен 1':'Статус не равен 1';?></p>
</div>
<div class="logo">
</div>
<div class="top_menu">
</div>
</div>
<div class="main_container">
<div class="left">
</div>
<div class="content">
</div>
</div>
</div>
<div class="footer">
</div>
</body>
</html>
Здесь есть кнопка выхода: <a href="http://test/admin/index.php?exit=ok">Выйти</a>
Нажав на эту кнопку, мы снова попадаем на начало index.php далее в auth.php, где по идее юзер должен быть разлогинен.
Так оно и происходит. Но если нажать назад в браузере, то я снова в админке! Как так?
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
DeepVarvar
Отправлено: 15 Июня, 2013 - 22:28:44
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Цитата:
а что можно там оставить/хранить, после того как пользователь выполнит логаут?
1) Верный ответ капчи.
2) Реферер.
3) Данные заполненной формы, чтобы при ошибке заново не вводил.
4) Данные зашедшего через OpenID.
5) Элементы, являющиеся зависимыми к еще не созданному родительскому.
6) Ключик, для расшифровки ответа от стороннего сервиса.
Это единственный кусок кода в данном топике, который я писал сам. Так где здесь ты увидел session_destroy() ? Я что то не вижу что бы я такое писал от себя...
Hapson
Отправлено: 15 Июня, 2013 - 23:23:15
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
[quote=Мелкий][quote=Hapson]
Вы НЕ авторизованы, страница открыта из кэша браузера.[/quote]
Да, действительно.
[quote=Мелкий]
Hapson пишет:
Попробуйте что-нибудь сделать и получите отказ доступа.
Там пусто - делать нечего было
Вставил тупо ссылку <a href="/admin/index.php">Обновить</a>
И по нажатию вылет из админки на форму авторизации.
Спасибо.
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
caballero
Отправлено: 15 Июня, 2013 - 23:25:27
Активный участник
Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011 Откуда: Харьков
Помог: 126 раз(а)
Цитата:
но где ты увидел, что я вызвал эту функцию??? Я лишь протицировал код ТС и задал ему вопрос, почему он написал именно так.
какая разница кто ее вызвал - суть дела от этого не меняется
не надо этого делать ни тебе ни ТС.
$auth=mysql_query("select id, login, password, status from `". DB_PREF ."users` where `login` = '".$user_login."' and `password` = '".$user_password."'");
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
teddy
Отправлено: 15 Июня, 2013 - 23:37:12
Участник
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
Hapson
Ошибок быть не должно. Вставляйте этот код в "шапку" файла и все будет работать. Данные GET параметра можете установить конечно же свои. И файл по своему назвать ) Ошибка может быть в случае если вы отправляете заголовок после любого вывода в браузер либо в файле присутствует BOM...
Hapson
Отправлено: 15 Июня, 2013 - 23:40:00
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
teddy пишет:
Hapson
Ошибок быть не должно. Вставляйте этот код в "шапку" файла и все будет работать. Данные GET параметра можете установить конечно же свои. И файл по своему назвать ) Ошибка может быть в случае если вы отправляете заголовок после любого вывода в браузер либо в файле присутствует BOM...
Понятно, спасибо.
Ну да, ошибка когда уже что-то выводилось (Добавление)
Так что лучше загонять в массив сессии? id или логин-пароль?
Безопасно ли отдавать в сессию логин-пароль?
Кстати вот что еще интересно. А зачем в джумле, логин-пароль админа лежат в файле конфига?
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
teddy
Отправлено: 15 Июня, 2013 - 23:58:40
Участник
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
Hapson пишет:
Так что лучше загонять в массив сессии? id или логин-пароль?
Думаю одного логина будет достаточно при грамотном подходе. А на основе этой сессии уже разруливать код...
Хотя тут все зависит от того, что вы хотите сделать ) я так особо не вчитывался во весь топик, особенно в код... Тоесть если пользователь авторизован, то записываем логин в сессию, а дальше уже используем логин для того, что нам нужно... А поля для авторизации убираем. И лучше запретить к полям для авторизации доступ вообще через прямой путь, коль уж авторизовались...
Hapson
Отправлено: 16 Июня, 2013 - 00:12:28
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
teddy пишет:
Hapson пишет:
Так что лучше загонять в массив сессии? id или логин-пароль?
Думаю одного логина будет достаточно при грамотном подходе. А на основе этой сессии уже разруливать код...
Хотя тут все зависит от того, что вы хотите сделать ) я так особо не вчитывался во весь топик, особенно в код... Тоесть если пользователь авторизован, то записываем логин в сессию, а дальше уже используем логин для того, что нам нужно... А поля для авторизации убираем. И лучше запретить к полям для авторизации доступ вообще через прямой путь, коль уж авторизовались...
Ну форма авторизации только через index.php админки открывается, больше никак. Или я что-то не понял?
Вообще это форма авторизации только для админа. Для юзеров будет другая. Вот я что думаю... для юзеров тоже сессии использовать?
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.