Problém s přihlášením $_SESSION – PHP – Fórum – Programujte.com

Ahoj,

mám přihlašovací skript, kde jsem si udělal Session a přihlásil jsem se na další stránku po té co jsem udělal soubor s session.php se nemohu přihlásit, chtěl jsem to proto abych se bez přihlášení nemohl dostat na soubor kde je nutné přihlášení.
Session.php

<?php Session_start(); /* DŮLEŽITÉ NASTARTOVAT SESSION */

<?php
 Session_start();  /* DŮLEŽITÉ NASTARTOVAT SESSION */
 if(isset($logovani["login"])){
 $logovani ["id"];
 $logovani ["jmeno"];
 $logovani ["prijmeni"];
 $logovani ["login"];


 }
 else{
 header("location:prihlaseni.php");
 }

 ?>

z login skriptu založená session

Session_start();
    $_SESSION["id"] = $logovani["id"];
    $_SESSION["jmeno"] = $logovani ["jmeno"];
    $_SESSION["prijmeni"] = $logovani ["prijmeni"];
    $_SESSION["login"] = $logovani ["login"];
    header("location:ucet.php;")
    }

Díky za odpovědi.

To mas nejake divne. Zkus dat cely testovany kod. Tady overujes jenom isset($logovani["login"])), nic podobne se session tam nemas. Mimochodem, udelat nezabezpeceny dulezity kod je to nejhorsi, co vubec muzes udelat, ale nechci ti radit :)

<?php
require("spojeni/connect.php");
if($_POST){
if(empty($_POST["login"]) and (empty($_POST["heslo"]))){
echo ("<span class='prihlaseni'>Vyplniňte prosím všechny pole přihlášení.</span>");
}
else{
if(isset($_POST["login"]) and (isset($_POST["heslo"]))){
$login = $_POST["login"];
$heslo = $_POST["heslo"];
$dotaz = "SELECT * FROM studenti where login='$login' and heslo='$heslo'";
echo $dotaz;
$vysledek=mysql_query($dotaz) or die ("Nelze se přihlásit");
$logovani = mysql_fetch_array($vysledek);
if(mysql_num_rows($vysledek)==1){
   Session_start();
   $_SESSION["id"] = $logovani["id"];
   $_SESSION["jmeno"] = $logovani ["jmeno"];
   $_SESSION["prijmeni"] = $logovani ["prijmeni"];
   $_SESSION["email"] = $logovani ["email"];
   $_SESSION["jazyk"] = $logovani ["jazyk"];
   $_SESSION["login"] = $logovani ["login"];
   $_SESSION["heslo"] = $logovani ["heslo"];

   
   
   switch($logovani["jazyk"]){
      case "Anglický Jazyk":header("location:studentanj.php");
      break;
      case "Francouzský Jazyk":header("location:studentfra.php");
      break;
      case "Německý jazyk":header("location:studentnem.php");
      break;
      }
   
   
}
}
}
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
  <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  <meta name="generator" content="PSPad editor, www.pspad.com">
  <style>
          .prihlaseni{
          height:100px;
          background:red;
          border:1px solid red;
          color:white;
          width:150px;
          padding:5px;
          }
       
          input[type="submit"]{
          height:25px;
          width:156px;
          color:white;
          background:#67b0cc;
          }
  </style>
  <title></title>
  </head>
  <body>
       <h1>Přihlášení</h1>
       
        <form action="prihlaseni.php" method="POST">
        <input type="text" name="login" placeholder="Přihlašovací jméno">     <br>
        <input type="password" name="heslo" placeholder="Heslo">     <br>
        <input type="submit" value="Přihlásit se">
        </form>
       
       
  </body>
</html>

"SELECT * FROM studenti where login='$login' and heslo='$heslo'" -- nepouzivej *, bezpecnostni hrozba
"SELECT id, jmeno, prijmeni, email, jazyk, login, heslo FROM studenti where login='$login' and heslo='$heslo'"

$_SESSION["id"] = $logovani["id"]; $_SESSION["jmeno"] = $logovani ["jmeno"]; $_SESSION["prijmeni"] = $logovani ["prijmeni"]; $_SESSION["email"] = $logovani ["email"]; $_SESSION["jazyk"] = $logovani ["jazyk"]; $_SESSION["login"] = $logovani ["login"]; $_SESSION["heslo"] = $logovani ["heslo"];
To se ti pak zkrati na $_SESSION = $logovani;

echo $dotaz; ...
Session_start(); - pri zapnuti error_reporting() na E_ALL ti tady zahlasi error, protoze echo odesle hlavicku a tudiz uz nelze vytvorit nove cookies/session, tudiz tento prikaz se nepouzije, ledaze bys mel ob_start nahore, coz nevidim

Sorry, ostatni nejspis okomentuje nekdo jiny, ja ted specham...

#4 peter
Bezpečnostní hrozba z toho dotazu nezmizela. Ten tvůj SQL dotaz je stále stejně nebezpečný.

#4 peter
Z tvýho komentáře absolutně nechápu nic.

#1 Q
Nechtěl jsi místo if(isset($logovani["login"])){ kontrolovat $_SESSION proměnnou?

peter: co je nebezpečného na použití SELECT * ? :) Je to pomalejší, to je pravda. Ale že by to bylo nebezpečné, to slyším poprvé.

V pořádku ten dotaz ale samozřejmě není, nemůžeš tam jen tak fláknout data, která jdou od uživatele bez nějaké kontroly. Pro tebe bude momentálně nejjednodušší ty proměnné prohnat funkcí mysql_real_escape_string (takže např. $login = mysql_real_escape_string($_POST["login"]);)

Jan Dlouhý - SELECT * vytahne vsechny sloupce. Pokud jsi hacker a potrebujes se neco dozvedet o db, tak neni nic lepsiho nez dotaz, ktery muzes zmenit (login='$login') a ma SELECT *.

Kit - Obsah promennych jsem neresil, to je taky treba, to jo, viz Jan Dlouhý

Q - Aha.
1. Najdi si priklad na error-reporting, zjisti, jak se pouziva a pridej si ho tam na zacatek programu s hodnotou E_ALL
2. pridaj si tam mysql_real_escape_string (viz Jan Dlouhý), opet priklady viz manual
3. Kdyz napises do toho SELECTu misto * seznam sloupcu, pak ta muzes zrovna ulozit do $_SESSION = $logovani a nemusis sloupec po sloupci.
4. php funguje tak, ze kdyz udelas echo, tak to hned posila uzivateli, pokud nemas na zacatku ob_start nebo zmeneny soubor php.ini/httpd.ini/.htaccess. Cili, ty tam udelas echo, on vyrobi html text + hlavicku souboru a odesle prohlizeci. Pokud je hlavicka uz odeslana, tak dalsi echo ji nevytvari, ale pouzije tu samou. Pokud je hlavicka odeslana, pak se ignoruji obvykle vsechny dalsi prikazy pro zmenu hlavicky, jako treba session_start, header... Viz manual, tam je to napsano. Cili, pred session_start nesmis mit zadne echo. Ob_start zapricini to, ze se stranka odesle az na konci nebo pri ob_flush.
http://cz2.php.net/…eporting.php
http://cz2.php.net/…on-start.php
http://cz2.php.net/…ob-start.php

#1 Q
#8 peter
Hlavně už konečně zapomeňte na funkci mysql_query(). Je zastaralá a v další verzi PHP nebude.

#8 peter
Když už by hacker narazil na takovýto dotaz, nějaký SELECT * by už mu moc nepomohl - získal by přístup k celé databázi.

Ale jak píše Kit, raději se vykašlat na mysql_query a používat něco rozumnějšího (PDO, Dibi...)

Než dělat v PDO, tak radči ovladač mysqli...

#11 Q
V čem přesně je MySQLi lepší než PDO?

#12 Kit
Vždyť je to jasné - do mysqli může valit stejné prasárny, jako do mysql_query :)

#13 Jan Dlouhý
Do PDO přece také :-) 

#14 Kit
To je pravda :) Pokud chce člověk prasit, nezastaví ho nic.