Registrácia&Login pomôžete? – PHP – Fórum – Programujte.com

Ahojte, začínam robiť s PHP a podarilo sa mi vytvoriť Registráciu a Login, len neviem, či je to bezpečné a či to nie je náchylné na SQL Injection a na Robotov... Preto, by som vás veľmi prosil, či by ste mi tieto doleuvedené kódy,neupravili, tak aby boli aspoň o štipku bezpečnejšie ;)
Ďakujem za pomoc!

S Pozdravom:


Majox ;)

Kódy:

Login:

<html>

<form action='login.php' method='POST'>

Nickname:<input type='text' name='uzivatel' maxlength='25'></br>

Heslo:<input type='password' name='heslo' maxlength='25'></br>

<input type='submit' name='Prihlásiť sa!'>

</form><p>

<a href='registracia.php'>Registrovať?</a>

</html>

<?php

session_start();



$uzivatel = $_POST['uzivatel'];

$heslo = $_POST['heslo'];

if ($uzivatel&&$heslo)

{

$connect = mysql_connect ("localhost","root","") or die ("Nemôžem sa pripojiť!!");

mysql_select_db ("web") or die ("Nemôžem nájsť databázu!");

$query = mysql_query ("SELECT * FROM uzivatelia WHERE uzivatel='$uzivatel'");

$numrows = mysql_num_rows ($query);

if ($numrows!=0)

{

while ($row = mysql_fetch_assoc ($query) )

{

$dbuzivatel = $row ['uzivatel'];

$dbheslo = $row ['heslo'];

$aktivacia = $row ['aktivacia'];

if ($aktivacia=='0')

{

die ('Váš účet zatiaľ, nie je aktivovaný! Prosím, skontrolujte si E-mail!');

exit();

}

}

if ($uzivatel==$dbuzivatel&&md5 ($heslo)==$dbheslo)

{

echo "Úspešne ste sa prihlásili! Kliknite <a href='uzivatel.php'>sem</a>, pre vstup na úvodnú stránku!";

$_SESSION ['uzivatel']=$uzivatel;

}

else

echo "Nesprávne heslo!!";

}

else

die ("Zadaný uživateľ, neexistuje");

}

else

die ("Prosím, zadajte Nickname a heslo!")

?>

<?php

function sterilize ($input, $is_sql = false)

{

$input = htmlentities($input, ENT_QUOTES);



if(get_magic_quotes_gpc ())

{

$input = stripslashes ($input);

}



if ($is_sql)

{

$input = mysql_real_escape_string ($input);

}



$input = strip_tags($input);

$input = str_replace("

", "\n", $input);



return $input;

}

echo "<h1>Registrácia</h1>";

$odoslat = strip_tags ($_POST ['odoslat']);

$nick = (strip_tags ($_POST ['nick']));

$heslo = strip_tags($_POST ['heslo']);

$opakovat = strip_tags($_POST ['opakovat']);

$datum = date ("Y-m-d");

$email = $_POST ['email'];

if ($odoslat)

{

$connect = mysql_connect ("localhost","root","");

mysql_select_db ("web");

$nickkontrola = mysql_query ("SELECT uzivatel FROM uzivatelia WHERE uzivatel='$nick'");

$count = mysql_num_rows ($nickkontrola);

if ($count!=0)

{

die ("Zadaný nick sa už používa!");

}

if ($nick&&$heslo&&$opakovat)

{



if ($heslo==$opakovat)

{

if (strlen($nick)>25)

{

echo "Nick použivateľa je príliš dlhý, prosím zadajte nick maximálne do 25 znakov!";

}

else

{

if (strlen($heslo)>25||strlen ($heslo)<6)

{

echo "Heslo musí mať od 6-25 znakov!";

}

else

{

//register

$heslo = md5 ($heslo);

$opakovat = md5 ($opakovat);

$randomcislo = rand(15236548,99563254);



$queryreg = mysql_query("INSERT INTO uzivatelia VALUES ('','$nick','$heslo','$email','$datum','$randomcislo','0')");

$posledneid = mysql_insert_id ();

// Poslanie aktivačného emailu

$adresa = $email;

$predmet = "Aktivácia Vášho účtu!";

$hlavicky = "From: Admin@adresa.eu";

// Mail adresa servera ktorú potom doplním! Doladiť!

$server = "mailhost.sheffield.ac.uk";

ini_set ("SMTP",$server);

$telo = "Ahoj $nick,\n\n 

Vitaj, na našom portáli,pre prihlásenie je nutné aktivovať svoj účet. Pre aktivovanie klikni na doleuvedený link:

http://localhost/aktivacia.php?id=$posledneid&kod=$randomcislo\n\n

S Pozdravom:\n\n

Majox";

mail($adresa,$predmet,$telo,$hlavicky);

die ("Registrácia prebehla úspešne!");

}

}

echo "";

}

else

echo "Heslá sa nezhodujú!";

}

else

echo "Prosím, vyplnte všetky polia!";

}

?>

<html>

<form action='registracia.php' method='POST'>

<table>



<tr>



<td>

Nick:

</td>



<td>

<input type='text' name='nick' value="<?php echo $nick; ?>" maxlength='25'>

</td>



</tr>

<tr>



<td>

E-mail:

</td>



<td>

<input type='text' name='email' maxlength='50'>

</td>



</tr>

<tr>



<td>

Heslo:

</td>



<td>

<input type='password' name='heslo' maxlength='25'>

</td>



</tr>

<tr>



<td>

Heslo,ešte raz:

</td>



<td>

<input type='password' name='opakovat' maxlength='25' >

</td>



</tr>





</table>

<p><input type='submit' name='odoslat'  value='Registrovať!'

</form>

</html>

zle zle zle .... kod je potencionalne nebezpecny nie len vyuzitim sql injection....

kazdu premennu s ktorou chces pracovat v db musis osetrit / skontrolovat , pretoze vstupu od uzivatela NIKDY NEVER !

v prvom rade povinne precitaj: http://programujte.com/?akce=clanek&cl=2007041802-sql-injection-a-zabezpeceni vratane funkcii ktore su v clanku spomenute... ak dacomu nepochopis kludne sa opitaj dalej

Ok, prezriem si to, ak niečomu nepochopím, tak určite napíšem!
Zatiaľ, vďaka...

Takže, ak som tomu lepšie pochopil, v podstate by stačilo, ak by som v kóde na registráciu dal namiesto normal. "POST" dal niečo takéto:

$nick = mysql_real_escape_string($_POST[nick]);

Ještě je vhodné kontrolovat i obsah zadaných dat, tzn. jestli to odpovídá tomu, co měl uživatel zadat. Třeba u toho loginu zkontrlovat, že obsahuje pouze povolené znaky, u emailu formát emailu, atd.

A ako by sa to dalo? :)

ja to riesim reg vyrazmi http://sk.php.net/manual/en/function.preg-match.php vseobecne: http://www.regularnivyrazy.info/php-pcre-perl-compatible.html

napr. login moze obsahovat pismena a-z a cisla 0-9 a moze byt dlhe 3 az 20 znakov

teda

if (preg_match("/^[a-z0-9]{3,20}$/i",$_POST['login'])) {

/// ok 

} else {

echo "zly format mena";

}

Tak, toto je super riešenie ;)
A prosím, poradil by mi niekto, ako na registráciu s overovacím textom(obrázkom) a s kontrolou formátu e-mailu? :)

Hledej captcha, najdeš toho hromadu.

Kontrola emailu: http://www.devshed.com/c/a/PHP/Email-Address-Verification-with-PHP/, tady najdeš inspiraci.

Vďaka, pohľadám :)

na heslo som pisal reg vyraz tu: http://programujte.com/?akce=diskuze&kam=vlakno&tema=16020-regularni-vyraz , mozno sa ti bude hodit

Ok, vďaka, za pomoc, ak by som niečomu ďalej nechápal, budem písať do tohoto vlákna :)

Ahojte, tak znova sem píšem, tentokrát by som sa chcel spýtať, kde robím chybu:

<?php

session_start();

if ($_SESSION['uzivatel'])

{

$pripojenie = mysql_connect ("localhost","root","") or die ("Nemôžem sa pripojiť ka databázy");

mysql_select_db("hra") or die ("Nemôžem nájsť databázu!");

$vek = $_POST['vek'];

$znamenie = $_POST['znamenie'];

$vysledok = $query = mysql_query ("UPDATE uzivatelia SET vek=$vek,znamenie=$znamenie");

echo "Tu, si môžeš upraviť svoj profil:";

echo "<html>

<form action='upravit.php' method='POST'>

Vek: <input type='text' name='vek'></br>

Znamenie: <input type='text' name='znamenie'></br>

<input type='submit' name='upravit' value='Upraviť'>

</html>";

}

else

die ("<font color=red>Pre prístup k tejto stránke sa musíte prihlásiť!</font>");

?>

znamenie  	varchar(25)  	utf8_slovak_ci

Znamení je varchar, musíš to dát do uvozovek:

$vysledok = $query = mysql_query ("UPDATE uzivatelia SET vek=$vek,znamenie='$znamenie'");

Ďakujem, funguje to!
Ešte by som sa rád spýtal podarilo sa mi, aby sa z databázy čítal iba prihlásený užívateľ tu kód:

<?php

session_start();

$uzivatel = $_SESSION ['uzivatel'];

if ($_SESSION['uzivatel'])

{

$pripojenie = mysql_connect ("localhost","root","") or die ("Nemôžem sa pripojiť ka databázy");

mysql_select_db("hra") or die ("Nemôžem nájsť databázu!");

$vysledok = $query = mysql_query ("SELECT * FROM uzivatelia WHERE uzivatel='$uzivatel'");

while($riadok = mysql_fetch_array( $vysledok )) {

$id = $riadok['id'];

echo "Vek: ". $riadok['vek'];

echo "</br>";

echo "Znamenie: ". $riadok['znamenie'];

echo "</br>";

echo "Pohlavie: ". $riadok['pohlavie'];

echo "</br>";

}

echo "<a href='upravit.php'>Upraviť profil</a>";

}

else

die ("<font color=red>Pre prístup k tejto stránke sa musíte prihlásiť!</font>");

?>

WHERE id='$id'

Ahojte, predchádzajúcu otázku ešte riešim, ale chcel by som sa spýtať na niečo nové a to je:
Ako v PHP spraviť aby keď niekto klikne na odkaz(tlačítko) aby to prirátalo napr. 1 bod a následne uložilo to databázy?
Nevedeli by ste mi niekto ukázať, ako na to?


Ďakujem, za ochotu a pomoc!

S Pozdravom:


Majox

najjednoduchsie asi takto:

mysql_query("UPDATE nazov_tabulky SET stlpec_z_bodmi=stlpec_z_bodmi+1 WHERE nejaka podmienka");

Aha, no skúsim, ako to pôjde :)

Funguje to super, vďaka!

Ahojte, nevedeli yb ste mi poradiť, ako do

<input type='text' name='test' value=' '>

<input type='text' name='test' value='<?php echo $data_z_db; ?> '>

Ahojte, znova sem píšem ohľadne toho sčitovania bodov...
Všetko fungovalo pokiaľ som do toho nepovkladal podmienky.
Jednoducho ide o to, že sa to číslo síce pripočíta do databázy,ale prvý krát nič také, že by sa niečo prišítalo nevypíše ďalej po klikaní sa to normálne pripočítava a po aktualizovaní stránky to vypíše ten výsledok ktorý by mal byť správny teda napr. namiesto 22 pred refreshom sa stane z toho 23 po refreshi...
Neviem, kde som spravil chybu a či som ten kód moc neskomplikoval, ďakujem za rady!

<?php

session_start();

$uzivatel = $_SESSION ['uzivatel'];

if ($_SESSION['uzivatel'])

{

$pripojenie = mysql_connect ("localhost","root","") or die ("Nemôžem sa pripojiť k databázy");

mysql_select_db("hra") or die ("Nemôžem nájsť databázu!");

$vysledok = $query = mysql_query ("SELECT * FROM uzivatelia WHERE uzivatel='$uzivatel'");

$riadok = mysql_fetch_array( $vysledok );

if ($_POST['plus'])

{

if ($riadok['body']>='1')

{

$vysledok = $query = mysql_query ("UPDATE uzivatelia SET body=body+1 WHERE uzivatel='$uzivatel'");

}

else

echo "";

}

if ($riadok['body']>='1')

{

echo "Práve máš:".$riadok['body']. " bodov!";

}

if ($riadok['body']<'1')

{

}

if ($riadok['body']>='25')

{

$vysledok = $query = mysql_query ("UPDATE uzivatelia SET level=2 WHERE uzivatel='$uzivatel'");

echo "</br><font color='red'>Level: </font><font color='blue'>".$riadok['level']."</font>";

}

if ($riadok['body']>='1')

{

echo "<form action='body.php' method='POST'><input type='submit' name='plus' value='pridaj'>";

}

if ($riadok['body']<'1')

{

echo "Nemáš dostatok bodov!";

}

}

else

die ("<font color=red>Pre prístup k tejto stránke sa musíte prihlásiť!</font>");

?>

Poměr počtu hloupostí k počtu řádků je takový, že nemá smysl radit.
Začni pěkně od začátku s PHP http://www.php.net/manual/en/langref.php a až potom se pusť do SQL.

No je fakt že tenhle kód není moc špičkový, například jsem nepochopil tenhle řádek:

$vysledok = $query = mysql_query ("SELECT * FROM uzivatelia WHERE uzivatel='$uzivatel'");

if ($riadok['body']>='1')

if ($riadok['body']<'1')